Важное уведомление: |
В этой статье мы рассмотрим, как настроить DNS-сервер на удаленной VPN в Nebula Cloud Center (NCC). Возможно, у вас есть определенные ресурсы в локальном домене на межсетевом экране в головном офисе, и вы хотите получить к ним доступ с удаленных сайтов (филиалов). Тогда необходимо настроить DNS Domain Zone Forwarder и протестировать его с помощью NSLookup.
Отказ от ответственности! Это может не сработать в 100% случаев, все зависит от типа сценария и конфигурации за пределами межсетевого экрана.
Топология:
1) Настройте "Этот шлюз" в качестве DNS-сервера для брандмауэра филиала.
Убедитесь, что DNS-сервер расположен в той же удаленной подсети, что и удаленная подсеть VPN.
Начните с настройки DNS-сервера "Этот шлюз" в качестве первого DNS-сервера в локальной сети.
Перейдите по адресу
Site-wide > Configure > Firewall > Interface
Это связано с тем, что DNS-запросы будут поступать на брандмауэр, а затем брандмауэр должен позаботиться об этом DNS-запросе, и на следующем этапе вы настроите, куда брандмауэр должен направлять такие DNS-запросы (Domain Zone Forwarder).
2) Настройка DNS-сервера в настройках брандмауэра
Перейдите в меню Firewall -> Configure -> Firewall Settings и добавьте новый Domain Zone Forwarder для пересылки домена на DNS-сервер через VPN через уже автоматически настроенный интерфейс "auto" и нажмите кнопку "save".
Перейдите по адресу:
Site-wide > Configure > Firewall > Firewall Settings
3) Протестировать результат
Запустите программу NSlookup на компьютере, подключенном к локальной сети филиала, и проверьте, удается ли разрешить доменное имя.
nslookup example.local
4) Если что-то пошло не так
Если не удается определить DNS-сервер с помощью nslookup, можно попробовать следующее.
a) Создать маршрут политики
Возможно, DNS-сервер находится в неправильной удаленной подсети, и поэтому его необходимо вручную направить с помощью маршрута политики.
Создайте маршрут политики, который направит подсеть-источник (lan1) к месту назначения, где расположен DNS-сервер, и настройте следующий пункт как VPN-туннель.
b) Пинг DNS-сервера
Можно попробовать выполнить ping DNS-сервера с клиентского ПК, чтобы проверить, можно ли вообще до него добраться из локальной подсети
ping 172.10.10.12
Если это не помогло, попробуйте выполнить ping с брандмауэра, чтобы проверить, маршрутизируется ли он через VPN-туннель. Если он не маршрутизируется, попробуйте решение"a", чтобы узнать, может ли здесь помочь маршрут политики.
c) Трассировка пакетов
Если ничего из вышеперечисленного не помогло, можно выполнить трассировку пакетов на локальном и удаленном брандмауэрах.
Либо путем перехвата ESP-пакетов в WAN(если в туннеле нет трафика), либо ICMP-пакетов в локальной и удаленной сети. Посмотрите эту статью о том, как можно перехватывать пакеты на брандмауэре (брандмауэрах):