Wenn der Sophos Proxy plötzlich meldet, dass Hosts nicht mehr erreichbar sind, könnte es an Problemen mit der DNS-Auflösung liegen. Komischerweise erscheint die Seite bei einem zweiten Versuch meist ohne Probleme. Typische Fehlermeldungen sind „Host not found“ und in der Logdatei des Webfilters finden sich Einträge „web request blocked“ zusammen mit „Host not found“ und dem Statuscode „502“. Der HTTP Statuscode 502 bedeutet „Bad Gateway“ (damit ist der Host der Webseite gemeint) und heißt nichts anderes, als dass der A-Record der Webseite nicht aufgelöst werden kann. Manchmal erscheint nicht einmal die Fehlermeldung, sondern der Browser moniert ein falsches Sicherheitszertifikat, weil die Sophos Fehlermeldung sich via SSL mit dem „falschen“ Zertifikat der Proxy CA einklinkt.
Was ist da falsch gelaufen?
Bei der Sophos UTM kann man jede Menge DNS Server gleichzeitig eintragen. Wenn die IP-Adresse der WAN-Schnittstelle automatisch via PPPoE oder DHCP zugewiesen wird, kommen auch noch die DNS Einstellungen des Providers mit hinzu. Diese Server werden als „Parent Cache“ verwendet. Sollte kein Server eingetragen sein, so fällt die UTM auf die ROOT DNS Server zurück, was immer gehen sollte, aber nicht unbedingt schnell ist.
Nun muss man wissen, dass die Sophos UTM alle Server im Round-Robin Verfahren nutzt. Dass bedeutet nun für uns, sollte ein einziger Server von allen nicht mehr antworten, geht sein Anteil (in der obigen Konfiguration 25%) der Anfragen ins Leere. Das steht leider so auch in keiner Dokumentation.
Besser und empfohlen ist in diesem Falle die Verwendung einer Verfügbarkeitsgruppe für den DNS Forwarder. Und das geht so:
- Sich eine Liste der öffentlich verfügbaren, schnellen und vertrauenswürdigen DNS Server besorgen.
- Sich 3-5 Server davon aussuchen, testen und als Host definieren.
- Die Server in gewünschter Priorität in eine neue Verfügbarkeitsgruppe eintragen.
- Beim Monitoring den DNS Port (UDP 53) auswählen.
- Alle anderen DNS Forwarder entfernen.
Nun wird der DNS Server mit der höchsten Priorität genutzt, solange er auf Port 53 antwortet. Im Fehlerfalle wird auf den nächsten Server umgeschaltet. Alle Ereignisse der Verfügbarkeitsgruppe findet man im Service Monitoring Log.
Die Verwendung der Verfügbarkeitsgruppe ist ebenso für die Benutzung von Authentifizierungsservern empfohlen. Hier sollte man allerdings den entsprechenden Port (LDAP oder LDAPS) überwachen.
Weitergehende Informationen zur Anpassung der DNS Konfiguration, um etwa auch interne IP-Adressen zu DNS-Namen aufzulösen, findet man in der Sophos Knowledgebase.