Nebula (Firewall)- DNS-Server auf einem entfernten VPN-Standort einstellen

Erstellt - Aktualisiert
Serhii Boiarynov
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Wenn es Fragen oder Unstimmigkeiten bezüglich der Genauigkeit der Informationen in der übersetzten Version gibt, lesen Sie bitte den Originalartikel hier:Originalversion

Dieser Artikel zeigt, wie man einen DNS-Server auf einem Remote-VPN in Nebula Cloud Center (NCC) konfiguriert. Vielleicht haben Sie bestimmte Ressourcen auf einer lokalen Domäne in der Firewall Ihres Hauptsitzes und möchten diese von den entfernten Standorten (Niederlassungen) aus erreichen. Dann müssen Sie den DNS Domain Zone Forwarder konfigurieren und mit NSLookup testen.

Haftungsausschluss! Dies funktioniert möglicherweise nicht zu 100 %, da dies von der Art des Szenarios und der Konfiguration außerhalb der Firewall abhängt.

Topologie:

1) Konfigurieren Sie "Dieses Gateway" als DNS-Server für die Branch Firewall

Stellen Sie sicher, dass sich der DNS-Server im selben entfernten Subnetz befindet wie das entfernte VPN-Subnetz.

Beginnen Sie mit der Einstellung des DNS-Servers auf "dieses Gateway" als ersten DNS-Server im LAN.

Navigieren Sie zu

Site-wide > Configure > Firewall > Interface

Der Grund dafür ist, dass die DNS-Anfragen an die Firewall gehen und die Firewall sich um diese DNS-Anfragen kümmern muss. Im nächsten Schritt werden Sie konfigurieren, wohin die Firewall solche DNS-Anfragen weiterleiten soll (Domain Zone Forwarder).


2) Konfigurieren Sie den DNS-Server in den Firewall-Einstellungen

Navigieren Sie zu Firewall -> Konfigurieren -> Firewall-Einstellungen und fügen Sie einen neuen Domain Zone Forwarder hinzu, um die Domain über die bereits automatisch konfigurierte "auto"-Schnittstelle durch das VPN an den DNS-Server weiterzuleiten, und klicken Sie auf "Speichern".

Navigieren Sie zu: 

Site-wide > Configure > Firewall > Firewall Settings

3) Testen Sie das Ergebnis

Führen Sie NSlookup auf einem mit dem Zweigstellen-LAN verbundenen PC aus, um zu sehen, ob Sie den Domänennamen auflösen können.

nslookup example.local

4) Wenn etwas schief geht

Wenn Sie Ihren DNS-Server nicht mit nslookup auflösen können, können Sie Folgendes versuchen.

a) Erstellen Sie eine Richtlinienroute

Es könnte sein, dass sich der DNS-Server nicht im richtigen entfernten Subnetz befindet und daher manuell mit einer Richtlinienroute umgeleitet werden muss.

mceclip3.png

Erstellen Sie eine Richtlinienroute, die das Quell-Subnetz (lan1) zu dem Ziel leitet, in dem sich der DNS-Server befindet, und konfigurieren Sie als nächsten Zielpunkt den VPN-Tunnel.

b) Ping DNS-Server

Sie können versuchen, den DNS-Server von einem Client-PC aus anzupingen, um zu sehen, ob Sie ihn überhaupt aus dem lokalen Subnetz erreichen können

ping 172.10.10.12

Wenn das nicht funktioniert, versuchen Sie, ihn von der Firewall aus anzupingen, um zu sehen, ob er durch den VPN-Tunnel geroutet ist. Wenn dies nicht der Fall ist, versuchen Sie Lösung"a", um zu sehen, ob die Richtlinienroute hier helfen könnte.

c) Paketverfolgung

Wenn keine der oben genannten Lösungen funktioniert, können Sie eine Paketverfolgung sowohl auf der lokalen als auch auf der entfernten Firewall durchführen.
Entweder durch Aufzeichnung von ESP-Paketen im WAN(wenn kein Verkehr im Tunnel stattfindet) oder von ICMP-Paketen im lokalen und entfernten LAN. Schauen Sie sich diesen Artikel an, wie Sie Pakete auf Ihrer Firewall aufzeichnen können:

Nebula Debugging - Port-Spiegelung & Paketerfassung

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
0 von 2 fanden dies hilfreich
Teilen