Zum Inhalt

Fehlersuche

Fehlersuche bei DNS Protection-Problemen.

Zugriffsprobleme

Internetprobleme auf Apple-Geräten

Problem

Sie können auf iPhone-Geräten nicht auf das Internet zugreifen, aber Sie können auf anderen Geräten darauf zugreifen.

Maßnahme

Auf Ihren Apple-Geräten sind möglicherweise die Einstellungen für iCloud Private Relay aktiviert. Deaktivieren Sie auf iPhone-Geräten die Option Tracking der IP-Adresse begrenzen. Weitere Informationen finden Sie unter Netzwerk- oder Webserver für iCloud Private Relay vorbereiten.

Konfigurierte Speicherorte mit privaten IP-Adressen

Problem

Sie haben Probleme mit dem Internet an Ihren Standorten und DNS-Anfragen wurden nicht aufgelöst. Dies kann daran liegen, dass Sie Standorte mit privaten IP-Adressen hinzugefügt haben. Private IP-Adressen wie 172.x.x.x oder 192.x.x.x funktionieren nicht.

Maßnahme

Konfigurieren Sie den Standort mit seiner öffentlichen IP-Adresse. Dies ist in der Regel die IP-Adresse der WAN-Schnittstelle Ihres Routers.

Mehrere Server für DNS-Auflösung konfiguriert

Problem

DNS Protection funktioniert nicht für Sie, weil Sie mehrere Server für die DNS-Auflösung konfiguriert haben. Dies kann auch daran liegen, dass Sie einen separaten DNS-Server für die Auflösung von IPv6-Adressen konfiguriert haben. DNS Protection ist ein IPv4-basierter DNS-Dienst, der auch IPv6-Adressen auflösen kann. Sie benötigen keinen separaten IPv6-DNS-Server, um IPv6-Adressen aufzulösen.

Maßnahme

So beheben Sie das Problem:

  1. Verwenden Sie nur DNS Protection, um öffentliche DNS-Anforderungen aufzulösen.
  2. Deaktivieren Sie die IPv6-DNS-Dienste, indem Sie die DHCPv6-Einstellungen auf Netzwerkebene ändern oder den IPv6-Stack so konfigurieren, dass er nicht automatisch eine DNS-Adresse erhält.

Dashboard

Das Dashboard zeigt keine DNS-Datenverkehrsinformationen an

Problem

Sie können Ihre DNS-Datenverkehrsinformationen nicht auf dem Dashboard anzeigen.

Maßnahme

Dies könnte auf DNS-Hijacking durch Ihren ISP zurückzuführen sein. Um dieses Problem zu beheben, fügen Sie die DNS Protection-IP-Adressen zu den DNS-Einstellungen auf Ihrem Router hinzu. Siehe DNS-Richtlinien werden nicht angewendet.

Standorte

IPv6-Adresse wird nicht akzeptiert

Problem

Auf der Seite Speicherort hinzufügen wird keine IPv6-Adresse akzeptiert.

Maßnahme

Derzeit unterstützen wir nur IPv4 für statische IP-Adressen und Hostnamen.

Keine Kommunikation mit DNS Protection-IP-Adressen

Problem

Ihre Systeme können nicht mit DNS Protection-IP-Adressen kommunizieren.

Maßnahme

DNS Protection akzeptiert Anforderungen nur, wenn sie von konfigurierten Speicherorten stammen. Verwenden Sie die DNS-Server, nachdem Sie Ihre Standorte in Sophos Central konfiguriert haben.

DNS-Anfragen von einem Standort werden nicht mehr aufgelöst

Problem

DNS Protection hat das Auflösen von DNS-Anfragen von einem Speicherort gestoppt.

Maßnahme

Dieses Problem kann aus folgenden Gründen auftreten:

  • Der am Speicherort angegebene FQDN kann nicht in eine gültige IP-Adresse aufgelöst werden. Sie müssen Ihre DNS-Konfiguration überprüfen, um dieses Problem zu beheben.
  • Die eingegebene IP-Adresse oder die IP-Adresse für einen FQDN am Standort steht in Konflikt mit einem anderen Benutzer. DNS Protection gibt dem Benutzer Vorrang, der den Speicherort zuerst erstellt hat. In diesem Fall empfehlen wir Ihnen, Ihren ISP nach einer eindeutigen IP-Adresse zu fragen.

Alarme zu diesen Problemen werden in Sophos Central auf der Seite Alarme angezeigt.

Richtlinien

Eine Website ist falsch kategorisiert

Problem

Sie glauben, dass eine Website falsch kategorisiert ist.

Maßnahme

Sie können eine der folgenden Maßnahmen durchführen:

  • Erstellen Sie eine benutzerdefinierte Domänenliste, fügen Sie diese Website zur Liste hinzu und fügen Sie die Liste einer Richtlinie hinzu, um die Website zuzulassen oder zu blockieren. Siehe Eine Richtlinie hinzufügen und Domänenlisten.
  • Senden Sie einen Antrag auf Neukategorisierung beim Sophos Support.

    Verfahren Sie wie folgt:

    1. Klicken Sie unter Sample einreichen auf Webadresse (URL).
    2. Geben Sie unter Web-Adresse (URL) die Website ein, die Sie neu kategorisieren möchten.
    3. Wählen Sie unter Produkt/Services die Option Sophos XG Firewall aus.

      Hinweis

      Sophos Firewall umfasst die gleichen Website-Kategorien wie DNS Protection.

    4. Erwähnen Sie unter Kommentare, dass diese Neukategorisierungsanforderung für DNS Protection und nicht für Sophos Firewall gilt. Sie können auch weitere Details zu Ihrer Anforderung hinzufügen.

    5. Fügen Sie Ihre persönlichen Daten hinzu.
    6. Klicken Sie auf URL einsenden.
Aktualisierte Richtlinie wird nicht sofort durchgesetzt

Problem

Sie haben eine Richtlinie aktualisiert, um eine zuvor zulässige Domäne zu blockieren. Die Richtlinie wird nicht sofort durchgesetzt, und Sie können trotzdem auf die Domäne zugreifen.

Maßnahme

Dies tritt auf, wenn die Domäne, die Sie blockiert haben, über eine lange DNS-Time-to-Live (TTL) verfügt. In diesem Fall ist die Domäne so lange zugänglich, bis ihre DNS-TTL abläuft.

Domänen

Erlaubte Domäne ist blockiert

Problem

Sie haben eine Domäne mit einer benutzerdefinierten Domänenliste zugelassen, aber DNS Protection blockiert sie.

Maßnahme

Dies könnte daran liegen, dass die Domäne ein Sicherheitsrisiko darstellt. DNS Protection blockiert Standorte immer, die SophosLabs als Bedrohung oder Sicherheitsrisiko einstufen.

Dynamisches DNS

Cloudflare-Konfiguration

Problem

Wenn Sie einen A-Datensatz in einer bei Cloudflare registrierten Domäne einrichten, wechselt Ihre Konfiguration in den „Proxy-Modus“. In dieser Konfiguration gibt der A-Datensatz eine Cloudflare-IP-Adresse zurück, nicht die von Ihnen angegebene IP-Adresse. Dies ist nicht ideal, wenn Sie einen DynDNS-Eintrag erstellen möchten, der auf Ihre IP-Adresse verweist.

Maßnahme

Stellen Sie in Cloudflare den Proxy-Status auf Nur DNS ein, um sicherzustellen, dass Ihr DNS-Eintrag auf die von Ihnen angegebene IP-Adresse verweist.

Installer

Zugriff auf Blockierseiten nicht möglich

Problem

Sie können auf die DNS-Protection-Willkommensseite zugreifen, aber wenn Sie eine Website besuchen, die durch eine DNS-Protection-Richtlinie blockiert wurde, sehen Sie die ursprüngliche Website und keine Blockierseite.

Die Blockierseite wird nicht angezeigt, wenn Ihre Firewall nicht so konfiguriert ist, dass DNS Protection zum Auflösen von Domänennamen verwendet wird, und den Datenverkehr im Web-Proxy-Modus mit aktiviertem Pharming-Schutz filtert. Dadurch sendet die Firewall Webverbindungen an die IP-Adresse, die sie von ihrem DNS-Server erhält, anstatt DNS Protection zu verwenden, um sie auf die Blockierseite umzuleiten.

Maßnahme

Verwenden Sie eine der folgenden Optionen:

  • Konfigurieren Sie Ihre Firewall so, dass DNS Protection als DNS-Server verwendet wird.
  • Deaktivieren Sie den Pharming-Schutz.
  • Deaktivieren Sie die Firewall-Webfilterung und TLS-Entschlüsselung bei Verbindungen zum DNS Protection Blockierseiten-Service wie folgt:

    • Erstellen Sie ein FQDN-Objekt für den Namen blockpage.dnsprotection.sophos.com.
    • Erstellen Sie eine Firewall-Regel, die den gesamten HTTP- und HTTPS-Dienstverkehr zulässt. Das Quellnetzwerk muss Ihre internen Zonen und Netzwerke sein und das Ziel muss die WAN-Zone sein. Verwenden Sie das neue FQDN-Objekt, um die Zielnetzwerke anzugeben. Legen Sie die Aktion Zulassen fest und aktivieren Sie keine Web-Filteroptionen.
    • Erstellen Sie eine TLS-Regel, die HTTPS-Verbindungen mit dem Blockierseiten-Service ohne Entschlüsselung zulässt. Dabei werden dieselben Auswahlkriterien wie die Firewall-Regel verwendet, jedoch mit der Aktion Nicht entschlüsseln.

Weitere Ressourcen