Nebula (Firewall) - Impostazione del server DNS su un sito VPN remoto

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Questo articolo mostra come configurare un server DNS su una VPN remota in Nebula Cloud Center (NCC). Forse avete risorse specifiche su un dominio locale nel firewall della sede centrale e volete raggiungerle dai siti remoti (filiali). In questo caso, è necessario configurare il DNS Domain Zone Forwarder e testare con NSLookup.

Disclaimer! Questo potrebbe non funzionare il 100% delle volte, tutto dipende dal tipo di scenario e dalla configurazione al di là del firewall.

Topologia:

1) Configurare "This Gateway" come server DNS per il Firewall di filiale.

Assicurarsi che il server DNS si trovi nella stessa subnet remota della subnet remota della VPN.

Iniziare impostando il server DNS su "questo gateway" come primo server DNS della LAN.

Passare a

Site-wide > Configure > Firewall > Interface

Questo perché le richieste DNS arriveranno al firewall, il quale dovrà occuparsi di tali richieste DNS; nel passaggio successivo, si configurerà dove il firewall dovrà inoltrare tali richieste DNS (Domain Zone Forwarder).


2) Configurare il server DNS nelle impostazioni del firewall

Andate su Firewall -> Configure -> Firewall Settings e aggiungete un nuovo Domain Zone Forwarder per inoltrare il dominio al server DNS attraverso la VPN tramite l'interfaccia "auto" già configurata automaticamente e premete "save".

Andare a: 

Site-wide > Configure > Firewall > Firewall Settings

3) Testare il risultato

Eseguire NSlookup su un PC collegato alla LAN della filiale per verificare se è possibile risolvere il nome di dominio.

nslookup example.local

4) Se qualcosa va storto

Se non si riesce a risolvere il server DNS con nslookup, si può provare con la seguente procedura.

a) Creare un percorso di policy

È possibile che il server DNS non si trovi nella subnet remota corretta e che quindi debba essere instradato manualmente con un percorso di criterio.

mceclip3.png

Creare una rotta di criterio che instradi la subnet di origine (lan1) verso la destinazione in cui si trova il server DNS e configurare il next-hop come tunnel VPN.

b) Ping del server DNS

Si può provare a eseguire un ping del server DNS da un PC client per vedere se è possibile raggiungerlo dalla subnet locale

ping 172.10.10.12

Se non funziona, provare a eseguire il ping dal firewall per vedere se è instradato attraverso il tunnel VPN. Se non è instradato, provare la soluzione"a" per vedere se il percorso di policy può essere utile.

c) Traccia dei pacchetti

Se nessuna delle soluzioni precedenti funziona, è possibile eseguire una traccia dei pacchetti sul firewall locale e su quello remoto.
Catturando i pacchetti ESP sulla WAN(se non c'è traffico nel tunnel) o i pacchetti ICMP nella LAN locale e remota. Consultate questo articolo su come catturare i pacchetti sui vostri firewall:

Debug Nebula - Port mirroring e cattura dei pacchetti

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 2
Condividi