toto je můj první příspěvek zde a jsem tak trochu nováček ve Fortigate. Většinou jsem se učil věci těžce, co se týče konfigurace, a narazil jsem na problém, který se mi nedaří vyřešit. Mám FG61F na naší centrále, nastavený s SSL-VPN a IPSec tunel pro site-to-site VPN. Nastavil jsem další FG61F na pobočce se stejným IPSec tunelem a můžu pingovat, ovládat na dálku apod., vzdálená zařízení podle IP adresy nebo FQDN, ale ne pouhým použitím názvu hostitele.
Ten samý problém jsem měl s SSL-VPN a podařilo se mi jej vyřešit přidáním dns-suffixu přes CLI. Příkazy a metoda byla jednoduchá a fungovala. Nicméně, u IPSec to není tak jednoduché. Zdá se, že nemohu jen tak spustit set dns-suffix nebo set domain. Mám zde odkaz na technický tip, který vysvětluje, jak navázat tento dns odkaz dvěma způsoby: https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-let-the-FortiGate-access-internal-DNS/ta-p/192412
Nemohu skutečně žádnou z metod tady použít k vyřešení názvů hostitelů, jako je ping TEST-DC01. První metoda odkazovaná výše mi prostě nefunguje a druhá metoda mi dělá hlavu, protože se zdá být trochu složitá. Upozorňuji, že nejsem moc zběhlý v používání CLI pro konfiguraci. Většinu nastavení jsem provedl přes GUI, takže mi můžete doporučit správné příkazy nebo kroky pro odstraňování problémů. Jsem ochoten poslat anonymizované IP adresy a konfigurační/diagnostické informace, pokud mi někdo pomůže.
tl;dr - pobočka nemůže rozpoznat hostnames pro vzdálenou stránku, je potřeba navázat dns spojení s HQ pro site-to-site VPN.
Pokud je to VPN typu site-to-site, nebude to součástí samotné konfigurace VPN, bude to konfigurace DNS pro klienty. Jaké IP adresy používají klienti pro DNS? Používají interní DNS server? Mají správný DNS suffix, když jsou na LAN?
Lokální DNS server na místě musí mít záznamy pro vzdálené místo. V závislosti na tom, kde je DNS hostován, se toto aktualizuje. Může být zapsáno do firewallu, pokud firewall funguje jako DNS server, nebo přidáno jako zona do DNS serveru.
Používáte to s Active Directory? Pokud ano, jsou řadiče domény na obou stranách tunelu synchronizované?
Můžete také nastavit klienty na straně A tak, aby používali DNS ze strany B, pokud je to potřeba.
Dobrý den a děkuji za vaši odpověď. Klienti na vzdálené straně nejsou připojeni ke doméně. Nastavil jsem hlavní DNS server na řadič sítě v HQ a sekundární na internetovou adresu. Nemají správný DNS suffix na LAN, protože nejsou v doméně. VPN má tento problém řešit, a SSL VPN poskytuje DNS suffix, ale IPSec ten nemá?
Místní pobočka je nastavena tak, aby používala hlavní řadič domény v HQ pro DNS. Zdá se, že to funguje správně, protože jsem schopný pingovat adresy na různých podsítích. Například:
HQ interní podsíť: [192.168.1.0/24]
Vzdálená interní podsíť: [192.168.2.0/24]
Nicméně, pingování a připojení jen podle názvu hostitele stále nefunguje. SSL-VPN měl možnost DNS-suffix, což mi to dříve spravilo. U IPSec VPN se zdá, že tahle možnost chybí. Je nějaký způsob, jak jednoduše přidat DNS-suffix pro celý pobočkový firewall? Jako poznámku, pobočka má jen několik uživatelů a na místě není řadič domény. Momentálně se připojují přes FortiClient, ale chci to nahradit VPN typu site-to-site.
Nezadáváte suffix do tunelu, musíte suffix přidat klientovi. Funguje to u SSL VPN, protože klient obdrží suffix při připojení, ale u VPN typu site-to-site to neexistuje žádný podobný mechanismus.
Pokud nejsou v doméně, suffix automaticky nemají, ale pokud používají DHCP, můžete suffix přidat jako DHCP volbu.
Pokud DHCP poskytujete z Fortigate, musíte to přidat přes CLI, myslím, že při pokusu o to přes GUI to vyhodí varování.
config system dhcp server
edit 1 (nebo jaké máte číslo)
set domain "doména.se"
end
Pokud DHCP nevede váš Fortigate, budete muset najít, kde přidat suffix na DHCP serveru.
Tohle bylo řešení, chuck. Moc vám děkuji za pomoc, zdálo se, že jsem šel příliš hluboko do problému, a nakonec z toho byla úplná hloupost. Nastavení domény na DHCP serveru na pobočkovém FG61F vyřešilo problém a nyní mohu pingovat zařízení v HQ podle názvu bez problémů.
Ještě jednou moc děkuji za vaši pomoc a trpělivost!