En este artículo abordamos el error ‘504 DNS lookup failed‘ que puede surgir al intentar acceder al servidor ZTNA utilizando un nombre de dominio completo (FQDN). Este problema es significativo ya que interrumpe el acceso a los recursos de red, afectando la productividad y la conectividad. A continuación, proporcionaremos un análisis profundo del problema, posibles soluciones y prácticas recomendadas para garantizar una configuración efectiva.
Índice
Descripción del problema
Este artículo describe el error ‘504 DNS lookup failed‘ al utilizar FQDN para acceder al servidor ZTNA. Este error generalmente ocurre cuando el servidor DNS no puede resolver el nombre de host solicitado, lo que impide que la conexión sea establecida correctamente.
Alcance
Este problema puede afectar a los dispositivos y tecnologías de Fortinet, incluyendo FortiGate, FortiEMS y FortiClient en el contexto de ZTNA.
Diagnóstico paso a paso
Para diagnosticar este problema, sigue los siguientes pasos:
- Verifica que tu FortiGate o el host pueda resolver el nombre de host. Si FortiGate está gestionando esta función, asegura que esté habilitado para resolver los nombres.
- Utiliza el comando
diag test application dnsproxy 13en la CLI para comprobar si el nombre de host está en caché.
Solución recomendada
Cuando se intenta acceder al servidor ZTNA utilizando FQDN, el FortiGate puede enfrentarse a problemas de resolución de DNS:
En el siguiente ejemplo, se utiliza el siguiente servidor DNS interno para resolver el nombre de host:
Es importante señalar que el servidor DNS primario no siempre se utiliza para resolver el nombre de host. De manera predeterminada, FortiGate usa el método de selección de servidor basado en ‘least RTT‘ (ms), que puede ser cambiado a ‘failover’; esto significa que solo un servidor DNS resolverá los nombres de host hasta que el primario no esté disponible.
Comandos CLI utilizados
Para realizar pruebas de acceso a los servidores ZTNA utilizando FQDN:
- Intenta acceder al servidor ZTNA usando FQDN con la mejor latencia del servidor DNS interno.
- Si el DNS primario no tiene la mejor latencia y el nombre de host no está en caché, se producirá un fallo de conexión.
Buenas prácticas y recomendaciones
Es recomendable utilizar un servidor DNS que tenga tiempos de respuesta rápidos y que esté bien configurado para manejar múltiples nombres de dominio. Además,:
- Asegúrate de que los registros DNS estén actualizados y sean precisos.
- Monitorea regularmente la resolución de DNS y la conectividad con el servidor ZTNA.
Notas adicionales
Para más detalles sobre la configuración de FortiGate y FortiEMS, consulta los siguientes documentos:
Ejemplo de proxy de acceso ZTNA HTTPS
Uso de FQDN con el proxy de acceso de reenvío TCP de ZTNA
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!