Sophos UTM Webfilter blockt Namensauflösung in RED-Netzwerk?

[Ex4mp1e]

Okay, nach dem etwas verwirrenden Titel hier mal grob die Situation.

Ich habe zwei Netzwerke, die jeweils mit einer vollwertige Sophos UTM 9 ausgestattet sind, und per RED connected sind.

Netzwerk 1 ist jetzt einfach mal 100.100.1.0/24, und Netzwerk 2 ist 100.200.1.0/24.

Die Clients in beiden Netzwerken befinden sich in der gleichen Domäne.


Jetzt zum Problem:

In Netzwerk 1 laufen zwei Webserver, die innerhalb des Netzwerks von den Clients entweder per IP oder per Hostname des Servers aufgerufen werden können. Für dieses Beispiel wäre das http://100.100.1.100 bzw. http://anwendung.domain.local
Innerhalb von Netzwerk 1 klappt das auf den Clients problemlos, sowohl per IP, als auch per Hostname.
Von den Clients in Netzwerk 2 klappt es per IP ebenfalls problemlos. Aber sobald man es per Hostname versucht, grätscht die Sophos dazwischen. Das Problem besteht mit beiden Webservern.
Deaktiviert man allerdings den Webfilter auf der UTM in Netzwerk 2, ist auch der Aufruf per Hostname möglich.
Namensauflösung und Co. funktioniert also. Schuld ist definitiv der Webfilter.

Weiß jemand, an welcher Stelle ich im UTM-Webfilter hier etwas drehen muss, damit das funktioniert?

 

[freshprince2002]

Netzwerk 1 ist jetzt einfach mal 100.100.1.0/24, und Netzwerk 2 ist 100.200.1.0/24.

Unabhängig von deinem Sophos Problem: https://datatracker.ietf.org/doc/html/rfc1918#section-3

 

[derlorenz]

Du könntest die URL in deiner Webfilter Policy whitelisten

 

[nosti]

Moin,
kann es sein, dass die Webfilter Einstellung auf der Sophos DNS Anfragen von Public blockiert? Es ist ja ungewöhnlich, dass eine public Adresse eine DNS Anfrage auf die Sophos stellen würde. Der DNS-Resolver sollte theoretisch nur auf internen Netzwerken laufen.

 

[Ex4mp1e]

Unabhängig von deinem Sophos Problem: https://datatracker.ietf.org/doc/html/rfc1918#section-3

Das sind selbstverständlich nur Platzhalter und nicht die IP-Adressbereiche, die ich verwende...

Moin,
kann es sein, dass die Webfilter Einstellung auf der Sophos DNS Anfragen von Public blockiert? Es ist ja ungewöhnlich, dass eine public Adresse eine DNS Anfrage auf die Sophos stellen würde. Der DNS-Resolver sollte theoretisch nur auf internen Netzwerken laufen.

Kann der Webfilter denn DNS-Anfragen blocken? Der befindet sich ja im Untermenü "Web Protection", und Einstellungen um DNS-Anfragen zu blocken würde ich eher unter "Network Protection" in der Firewall vornehmen?
Falls der Webfilter das auch kann, an welcher Stelle muss ich da suchen?

 

[Cokocool]

Das sind selbstverständlich nur Platzhalter und nicht die IP-Adressbereiche, die ich verwende...

Du kannst ruhig die privaten Adressen nennen Die existieren milliardenfach in privaten Netzwerken.

 

[Ex4mp1e]

Moin,
kann es sein, dass die Webfilter Einstellung auf der Sophos DNS Anfragen von Public blockiert?

Das könnte vielleicht echt die richtige Richtung sein. Hab das ganze mal durch den Policy-Test gejagt.
So sieht das per IP aus: (bin jetzt einfach bei den blöden Adressen aus dem Startpost geblieben. )

Und so per Hostname:

"Host not found" klingt ja tatsächlich danach, dass er die DNS-Abfrage blockt. Die Frage ist nur wo und warum. :/

 

[corvus]

In welchem Modus läuft der Webfilter? Wenn "Transparent", dann die Zielserver einfach mal unter Web Protection - Filtering Options - Misc -

Skip Transparent Mode Destination Hosts/Nets

ausnehmen.
Abgesehen davon: was sagen die Webfilter und DNS Logs?
Existiert für den FQDN des Websewrvers ein Netzwerkobjekt an der Firewall oder wo findet die DNS-Auflösung statt?

 

[Ex4mp1e]

Jap, Filter läuft im Transparent mode.

Hab den Zielserver dort hinzugefügt, Policy-Test sagt weiterhin "Blocked - Host not found"...
...interessanterweise funktioniert jetzt aber der Aufruf per Browser.

Scheinbar war das dann aber die Lösung, vielen Dank @corvus !

 

[corvus]

Würde dann trotzdem mal noch DNS überprüfen, also welcher Server auflöst, die UTM scheint es ja nicht zu sein.