Cómo resolver problemas con la actualización dinámica de DNS en FortiGate en modo Proxy

Este artículo aborda un problema relacionado con cómo FortiGate maneja los paquetes de actualización dinámica de DNS en modo proxy. Este tema es crítico ya que los paquetes de actualización dinámica de DNS son esenciales para mantener la precisión de los registros DNS en el servidor. El artículo examina el problema, su alcance y ofrece soluciones recomendadas para que los administradores puedan gestionarlo eficazmente.

Descripción del problema

Cuando un usuario ejecuta el comando ipconfig /registerdns en máquinas Windows, se genera un paquete de actualización dinámica de DNS. FortiGate debe gestionar correctamente estos paquetes para asegurar que el servidor DNS se actualice con la información adecuada. Sin embargo, al recibir estos paquetes, FortiGate verifica primero su caché. Si encuentra los datos en caché, responde sin reenviar la solicitud al servidor, lo cual anula la funcionalidad de la actualización dinámica de DNS.

Alcance

Este artículo está enfocado en el dispositivo FortiGate y en cómo maneja los paquetes de actualización dinámica de DNS.

Diagnóstico paso a paso

Cuando FortiGate recibe un paquete de actualización dinámica de DNS:

  • El paquete contiene un Opcode de 5, indicando que es un paquete de actualizaciones DNS dinámicas. A continuación se muestra una captura de pantalla de un ejemplo de salida:

dynamicupdate.png

  • FortiGate verifica su caché antes de reenviar el paquete al servidor DNS.
  • Si la información está presente en la caché, responderá sin volver a enviar la solicitud, lo que puede resultar en una respuesta incorrecta ya que la información puede estar desactualizada.
  • Esta situación contradice la finalidad de los paquetes de actualización dinámica de DNS, que es informar al servidor DNS que actualice los registros.
  • No existe un comando en FortiGate para verificar los detalles de la información en caché que se responde.
  • Sin embargo, el debug de la aplicación ‘dnsproxyd’ mostrará la salida que indica que FortiGate está enviando una respuesta en caché en lugar de reenviar los paquetes al servidor.
Artículos relacionados  Cómo solucionar el problema del informe de actividades 360 grados que muestra usuarios en la tabla de Aplicaciones Más Activas en Fortinet.

2024-11-21 07:02:18 [worker 0] udp_receive_redirect()-3276
2024-11-21 07:02:18 [worker 0] udp_receive_redirect()-3328: vd=0, vrf=0, intf=11, len=104, alen=16, 10.10.22.29:61228=>10.10.3.51
2024-11-21 07:02:18 [worker 0] handle_dns_request()-2489: vfid=0 real_vfid=0 id=0xc71e pktlen=104 qr=0 req_type=2
2024-11-21 07:02:18 [worker 0] dns_parse_message()-603
2024-11-21 07:02:18 [worker 0] dns_policy_find_by_idx()-2924: vfid=0 idx=1
2024-11-21 07:02:18 [worker 0] dns_secure_log_request()-1123: id:0xc71e pktlen=104 profile=Block-Security-Risk ifindex=11
2024-11-21 07:02:18 [worker 0] dns_secure_log_request()-1179: write to log: qname=xxxxxxxxxx qtype=6
2024-11-21 07:02:18 [worker 0] dns_profile_do_url_rating()-1992: vfid=0 profile=Block-Security-Risk category=255 domain=xxxxxxxxx
2024-11-21 07:02:18 [worker 0] botnet_domain_search()-2291: domain=xxxxxxxxxxx passed botnet check
2024-11-21 07:02:18 [worker 0] dns_profile_do_url_rating()-2088: request filter result for xxxxxxxxxxx (type=0 action=9)
2024-11-21 07:02:18 [worker 0] dns_send_cached_response()-1747: domain=xxxxxxxx
2024-11-21 07:02:18 [worker 0] dns_query_save_response()-2724: domain=xxxxxxxxx pktlen=101
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-142
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-145: Offset of 1st RR: 29
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-147: Number of RR’s: 4
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-158: New ttl: 0
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-158: New ttl: 0
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-158: New ttl: 0
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-158: New ttl: 1105
2024-11-21 07:02:18 [worker 0] dns_forward_response()-1720

Solución recomendada

Este problema ha sido resuelto en las versiones v7.4.8 y v7.6.3 de FortiGate. Es recomendable actualizar el firmware a estas versiones o posteriores para garantizar una operación adecuada en la gestión de paquetes de actualización dinámica de DNS.

Comandos CLI utilizados

Para diagnosticar este problema, puede activar el modo de depuración de la aplicación ‘dnsproxyd’ utilizando el siguiente comando:

diagnose debug application dnsproxyd 1

Esto permitirá ver la salida de depuración relacionado con las solicitudes DNS y ayudará a identificar si FortiGate está utilizando respuestas en caché.

Buenas prácticas y recomendaciones

  • Revisar y mantener actualizados los registros de cemento de DNS regularmente.
  • Configurar alertas para monitorear el funcionamiento de FortiGate y cualquier respuesta incorrecta que pueda ser devuelta.
  • Analizar el uso de caché DNS en servidores críticos para mejorar la eficacia de las actualizaciones.
Artículos relacionados  Sugerencia para la resolución de problemas: el clúster de problemas de sincronización de alta disponibilidad no está sincronizado

Notas adicionales

Es fundamental para los administradores de red estar al tanto de los cambios en el firmware de FortiGate que abordan problemas de este tipo, así como documentar adecuadamente cualquier cambio en la configuración de red para facilitar futuras referencias.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *