Nebula (защитна стена) - Задаване на DNS сървър на отдалечен VPN сайт

Създаден 09 март, 2023 08:53 - Обновено 14 август, 2023 12:32

Serhii Boiarynov

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Тази статия ще покаже как да конфигурирате DNS сървър на отдалечена VPN мрежа в Nebula Cloud Center (NCC). Може би имате определени ресурси в локален домейн в защитната стена на централата и искате да ги достигнете от отдалечените сайтове (клонове). Тогава трябва да конфигурирате DNS Domain Zone Forwarder и да тествате с NSLookup.

Отказ от отговорност! Това може да не работи в 100% от случаите, всичко зависи от вида на сценария и конфигурацията извън защитната стена.

Топология:

1) Конфигурирайте "Този шлюз" като DNS сървър за защитната стена на клона

Уверете се, че DNS сървърът е разположен в същата отдалечена подмрежа като отдалечената подмрежа на VPN.

Започнете с настройката на DNS сървъра на "този шлюз" като първи DNS сървър в локалната мрежа.

Навигирайте до

Site-wide > Configure > Firewall > Interface

Това е така, защото DNS заявките ще отиват към защитната стена и след това защитната стена трябва да се погрижи за тази DNS заявка, а в следващата стъпка ще конфигурирате къде защитната стена да препраща тези DNS заявки (Domain Zone Forwarder).

2) Конфигуриране на DNS сървъра в настройките на защитната стена

Отидете на Firewall -> Configure -> Firewall Settings (Защитна стена -> Конфигуриране -> Настройки на защитната стена) и добавете нов Domain Zone Forwarder (Препращач на зони на домейни), за да препращате домейна към DNS сървъра през VPN чрез вече автоматично конфигурирания "автоматичен" интерфейс, и натиснете "Save" (Запази).

Навигирайте до:

Site-wide > Configure > Firewall > Firewall Settings

3) Тестване на резултата

Стартирайте NSlookup на компютър, свързан към локалната мрежа на клона, за да видите дали можете да разрешите името на домейна.

nslookup example.local

4) Ако нещо се обърка

Ако не можете да разрешите DNS сървъра си с nslookup, можете да опитате следното по-долу.

а) Създайте маршрут на политиката

Възможно е DNS сървърът да не е в правилната отдалечена подмрежа и затова да трябва да бъде ръчно маршрутизиран с маршрут на политиката.

Създайте маршрут на политиката, който насочва подмрежата на източника (lan1) към местоназначението, където се намира DNS сървърът, и конфигурирайте следващия връх да бъде VPN тунелът.

б) Ping DNS сървър

Можете да опитате да пингнете DNS сървъра от клиентски компютър, за да видите дали можете да го достигнете от локалната подмрежа.

ping 172.10.10.12

Ако това не помогне, опитайте се да го пингнете от защитната стена, за да видите дали е пренасочен през VPN тунела. Ако не е маршрутизиран, опитайте решение"а", за да видите дали маршрутът на политиката може да помогне тук.

в) Проследяване на пакети

Ако нито едно от горните решения не помогне, можете да направите проследяване на пакети на местната защитна стена, както и на отдалечената защитна стена.
Или чрез улавяне на ESP пакети във WAN(ако няма трафик в тунела), или на ICMP пакети в локалната и отдалечената мрежа. Вижте тази статия за това как можете да уловите пакети на защитната стена(и):

Nebula Debugging - Port mirroring & Packet Capturing

Статии в този раздел

Вижте още

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.