Startseite Fortinet Fortigate: DNS-Server über VPN nutzen

Fortigate: DNS-Server über VPN nutzen

Wenn man in einer Fortigate Firewall ein DNS-Forwarding für eine oder mehrere spezielle Domains machen (Split DNS z.B.), und der oder die DNS-Server an einem anderen Standort betrieben werden, muss man eine Kleinigkeit anpassen, damit die Auflösung gemacht werden kann.

Beispiel

In diesem Beispiel haben wir zwei Standorte, die über jeweils eine Fortigate Firewall miteinander verbunden sind (Site-to-Site IPsec VPN). An Standort A sind zwei DNS-Server vorhanden, die sich um die die Namensauflösung im internen Netz kümmern. Im internen Netz wird die gleiche DNS Domain verwendet wie extern im Internet. Um interne Dienste aufzulösen, werden diese Dienste im internen DNS eingetragen, und können von den Mitarbeitern aufgerufen werden. In diesem Beispiel sprechen wir von einem Dienst, der unter service.contoso.de erreichbar ist.
Standort B nutzt grundsätzlich eigene Server und eine eigene Internetverbindung, nutzt aber auch diesen einen Dienst service.contoso.de auf einem Server in Standort A. Damit die Mitarbeiter den Dienst einfach durch den Aufruf im Webbrowser nutzen können, werden Anfragen an contoso.de an die DNS-Server an Standort A weitergeleitet und von dort mit einer IP-Adresse beantwortet. Dies sorgt dafür, dass auch bei einem Wechsel der IP-Adresse(n) die Seite B keine Änderung erfahren muss, da die Benutzer immer die aktuelle(n) Adresse(n) bekommt.

Problem

Richtet man “nur” ein Site-to-Site VPN ein, und trägt nun in dem Gerät an Seite B den DNS-Server von Seite A ein (der ausschließlich per VPN erreichbar ist), funktioniert die Namensauflösung nicht.

Lösung

Damit die Fortigate an Standort B den DNS-Server an Standort A erreichen kann, muss eine kleine Anpassung per CLI gemacht werden:

config system dns-database
    edit "contoso.de"
        set source-ip 10.10.10.1
    next
end

Die IP-Adresse 10.10.10.1 in diesem Beispiel muss ersetzt werden durch die IP-Adresse der Fortigate in dem Netzwerk, in dem sich die Clients befinden. Bei einer sehr einfachen Konfiguration ist dies die IP-Adresse des Internal-Interface bzw. vom LAN-Interface.

Quelle für diese Information und mehr: Technical Tip: DNS database with FortiGate as a slave to a Windows AD DNS master

Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert