【高级篇 / DNS】(7.0) ❀ 03. FortiGate作为Window DNS的备用DNS服务器 ❀ FortiGate 防火墙
【简介】在公司总部,有建立Windows DNS服务器,可以通过域名解析出内网地址来。分公司通过VPN连接总公司,能不能也利用公司总部的DNS服务器来解析内网地址呢?如果可以实现,那么所有分公司都可以利用域名通过VPN来访问总部服务器了。我们可以将FortiGate防火墙作为备用DNS服务器来实现这个功能。
分公司与总公司用FortiGate防火墙建立IPsec VPN,分公司电脑需要使用总公司的DNS服务器,通过域名解析得到总公司内网服务器IP。
Windows DNS服务器
我们首先需要配置Windows DNS服务器。
① 登录Windows Server 2022,点击左下角菜单图标,弹出菜单选择【Windows管理工具】-【DNS】。
② 进入DNS管理器窗口,点击左边菜单的服务器名称。
③ 展开菜单,在正向查找区域查找起始授权(SOA)记录,这里鼠标右击【oldmei.com】,弹出菜单选择【属性】。
④ 点击子菜单【区域传送】,启用【允许区域传送】,选择【只允许到下列服务器】,点击【编辑】。
⑤ 总部如果只有一台DNS服务器的话,也可以将总部FortiGate防火墙作为备用DNS服务器。这里我们分别输入总部和分部防火墙内网接口IP,点击【确定】。DNS服务器和总部防火墙直接连接,和分部防火墙是能过VPN连接(能互相Ping通),所以他们的验证显示不同。
⑥ 区域传送将把副本发送给请求副本的服务器,这里是总部和分公司的两台FortiGate防火墙。点击【确定】。Windows DNS服务器配置完成。
总部FortiGate
我们可以将总部防火墙配置为备用DNS服务器。
① 选择菜单【系统管理】-【可见功能】,启用【DNS数据库】。
② 选择菜单【网络】-【DNS服务器】,在DNS数据库子项中点击【新建】。
③ 类型选择【备用】,查看设置为【Shadow】。输入DNS区域名称和域名,域名可以在DNS服务里看到。主IP输入Windows DNS服务器IP地址。点击【确认】。
④ 需要电脑指定防火墙接口,防火墙DNS服务器设置才会起作用。在接口上的DNS服务选项点击【新建】。
⑤ 选择内网接品,模式保持默认的【递归】,当需要DNS解析时,会先访问FortiGate DNS服务器,如果没有查询到,则会访问FortiGate 系统DNS。
⑥ 总部FortiGate防火墙的DNS服务器配置完成。
⑦ 使用命令diagnose test application dnsproxy 8,可以读取到DNS信息。
⑧ 总部防火墙port7下连接的电脑,将DNS指向防火墙接口IP。
⑨ Ping DNS服务器里的域名,可以正确解析出地址。这是因为port7口设置的是递归模式,当电脑发出DNS解析请求时,先达到防火墙por7口,然后在防火墙的DNS服务器里查询,防火墙的DNS服务器的备用DNS指向了Windows DNS服务器。于是解析得到内网IP地址。如果是公网域名,则会访问FortiGate 系统DNS,也就是转发到公网DNS,最后得到正确IP地址。
分公司FortiGate
分公司的配置和刚才一样。
① 登录分公司防火墙,选择菜单【系统管理】-【可见功能】,启用【DNS数据库】。
② 选择菜单【网络】-【DNS服务器】,在DNS数据库子项中点击【新建】。
③ 类型选择【备用】,查看设置为【Shadow】。输入DNS区域名称和域名,域名可以在DNS服务里看到。主IP输入Windows DNS服务器IP地址。点击【确认】。
④ 需要电脑指定防火墙接口,防火墙DNS服务器设置才会起作用。在接口上的DNS服务选项点击【新建】。
⑤ 分公司的FortiGate内网接口为【lan】,模式仍然保持默认的【递归】。
⑥ 看上去和总公司设置的一样,只是内网接口名称不同。
⑦ 使用diagnose test appliction dnsproxy 8命令查看DNS,并没得到长长一串的DNS信息,这说明,分公司防火墙没有读取到Windows DNS服务器的信息。
⑧ 是网络不通吗?定义源IP为分公司防火墙内网接口IP,Ping总部DNS服务器IP,可以Ping通,说明VPN连接是正常的。
⑨ 既然Ping包需要定义源IP,那么是不是DNS设置也缺少源IP呢?config system dns-databse命令配置DNS数据库,show命令查看数据库内容,找到名称为oldmei的配置。编辑该配置,用set source-ip命令定义源IP,end命令结束并保存。
⑩ 再次用diagnose test application dnsproxy 8命令查看,这次有获到DNS服务器信息。
⑾ 分公司防火墙下的电脑DNS指向防火墙内网接口IP。
⑿ 在电脑的DOS命令窗口输入nslookup oldmei.com命令,可以看到DNS指向192.168.200.1,成功的解析出来oldmei.com的IP。这说明,分公司的电脑通过FortiGate防火墙的DNS服务器得到总公司DNS服务器里的域名解析信息。如果所有分公司都这样配置,那所有人员都可以通过域名访问指定的IP了。
Windows DNS服务器变更
如果总公司Windows DNS服务器变更了,那会怎么样?
① 登录Windows Server 2022,打开DNS管理器,鼠标右键点击oldmei.com,弹出菜单选择【新建主机】。
② 输入名称和IP地址。自动生成FQDN,点击【添加主机】。
③ 显示不能创建指针记录,这个可以忽略,点击【确定】。
④ 新的主机创建完成。
⑤ 在域服务器,Ping刚建立的域名,可以成功解析出IP地址。
⑥ 在分公司的电脑里,无法解析这个新建的域名,这是因为DNS服务器并没有同步域名到FortiGate防火墙,那要怎么办呢?
⑦ 最简单的办法就是在分公司的防火墙中,将DNS数据库删除,再重新建立一次。这样就会更新DNS服务器的数据。
⑧ 为了直观一些,我们通过CLI命令来操作。首先是配置dns数据库,查看到区域名称。然后是删除原有的配置。
⑨ 再用命令重新建一下。
⑩ 最后再用diagnose test application dnsproxy 8命令查看,有更新DNS信息。DNS服务器上新建的内容也在。
⑾ 最后在分公司的电脑Ping新建的域名,可以成功的解析出IP地址。查看路由,确实是走分公司的防火墙,通过VPN到达总公司的。
