fortigate 60d + DNS

[Pv07]

fortigate 60d + DNS

קצת הסתבכתי עם הגדרות DNS בFORTI.
החלפתי SBOX לפורטי באחד הסניפים. SBOX שימש שם כDNS
מפורטי אני כן מצליח לעשות RESOLVE לכתובות חיצוניות וממחשבים אני מקבל DNS request time out כאשר DNS SERVER -פורטי.
מוגדר כרגע any to any allow ב internal לWAN

מישהו יכול לכוון אותי?

 

[נק nick]

בוא נתחיל פרה פרה

מה CLI - כשאתה מנסה לעשות ping למשל ל google.com
אתה מקבל resolve תקין ?

ופינג ל IP ? עובר ?

תחת system - > network -> dns
מה מופיע לך ?

 

[Pv07]

בCLI ה resolve תקין , פינגים עוברים.

בשורה system - > network -> dns DNS של GOOGLE.

 

[Pv07]

תשובה על שאלה אחרונה - 8.8.8.8

 

[נק nick]

מי ה DNS של התחנות ?

מהתחנות יש לך PING ל IP ?

ב rule הגלישה - סימנת V על nat ??

 

[Pv07]

הDNS של תחנה הוא פורטי

כאשר אני מחלף DNS בתחנה לDNS חיצוני הresolve תקין.ברול כן סימנתי nat.

 

[נק nick]

אם ככה ...

אז אתה צריך לאפשר ל forti להיות ה dns-proxyשלך,
מה שהיום הוא לא עושה.

אז אתה הולך ב CLI ל :
config system dns-server
edit 11
set mode forward-only
end


תחזור עם תגובות.

 

[Pv07]

שגיאה

FGT60D4613059879 (dns-server) # edit 11
entry not found in datasource

value parse error before '11'
Command fail. Return code -3

 

[נק nick]

תכתוב

config system dns-server

ואז edit וסימן שאלה.

הוא ייתן לך את שמות הרגליים שיש לך.
תבחר את רגל ה lan שלך במקום הסיפרה 11 שכתבתי קודם
ואז תמשיך כמו שהצעתי set mode forward-only

 

[Pv07]

תודה רבה! התחיל לעבוד.

תוכל בבקשה להסביר לי למה זה לא עבד מהתחלה?
האם פיספסתי איזה שהיא הגדרה בWEB GUI?

 

[נק nick]

יש הבדל בין איך שפורטי

רואים את המצב, ובין איך שרואים אותו בעולם הביתי.

בפורטי, שזה FW, ויותר מזה FW ארגוני, מאמינים שיש שתי אפשרויות
גישה ל DNS. או שהתחנה/שרת יצא לעולם ויתשאל את שרתי הספקית
שלך (או ה root), או שה FG יתשאל את ה DNS. - וזה מה שעשינו
כרגע.

בעולם הלא עיסקי. כלומר בנתבים הביתיים, זה נעשה כסטנדארט.
ב FG צריך להגדיר את זה.
ולא. לא מה GUI.

 

[Pv07]

אין לי בעיה לא עם עולם עסקי ולא עם CLI

פשוט לא מצאתי תזכורת לגבי זה בcookbook.
שוב תודה רבה

 

[ErezLevov]

כן פיספסת הגדרה

אפשרי להגדיר את זה ב gui

1. admin>settings ואז לסמן את dns database
2. network>dns server שם ב dns service name תיצור חדש תבחר ב interface הרצוי

3.ב network>dns אתה יכול להגדיר את השרת שיענה לבקשות

נ.ב
שים לב שבהגדרות interface>wan יש הגדרה של override internal dns שלמעשה דורסת את ההגדרה ב 3'

 

[Pv07]

אין הגדרה כזאת

 

[ErezLevov]

באיזה דפדפן אתה משתמש?

 

[Pv07]

ניסיתי בכולם

 

[sharonei1]

תעשה update לקופסא

 

[wa11a]

אוקי, עכשיו מה ?

אחרי שהגדרתי DNS MAANGEMENT
איפה אני מגדיר מיהו השרת FORWARDER ?
ברגע שאני מגדיר בNETWORK - DNS
אני רואה את הכתובות ה-IP האלה בחלוקת כתובות ואני לא רואה את ה-FORTIGATE בתור שרת DNS ראשי

 

[wa11a]

הלכתי ל DHCP

ושיניתי מDNS MANAGEMENT ל- DNS SPECIFY ושמתי את ה-GW

 

[ErezLevov]

שלח צילום מסך