En este artículo, abordaremos un problema común relacionado con el servidor DNS interno de FortiGate que puede impedir la resolución de nombres de dominio totalmente cualificados (FQDN). Este inconveniente es crítico, ya que puede limitar el acceso a sitios web importantes, mientras que otros funcionan sin problemas. Aquí, aprenderemos a diagnosticar el problema y aplicar una solución que permita restablecer la funcionalidad de navegación interna.
Índice
Descripción del problema
- FortiGate está configurado con un servidor DNS interno (primario) y un servidor FortiGuard (secundario).
- Los usuarios internos no pueden acceder al sitio web específico www.bsp.gov.ph, mientras que otros sitios web públicos como Google y YouTube son accesibles.
- El tráfico interno no se ve afectado.
- La captura de paquetes en FortiGate solo muestra el paquete SYN enviado, pero no el SYN-ACK de retorno del sitio web para la URL. Las consultas DNS se envían al servidor DNS interno.
- La máquina está configurada con el DNS interno. Hacer ping a la URL www.bsp.gov.ph resulta en un timeout, mientras que NSLOOKUP resuelve a una única dirección IP.
- Si se especifica el DNS como 8.8.8.8 en la máquina del usuario, el sitio web es accesible y NSLOOKUP resuelve a múltiples direcciones IP.
Alcance
Este problema afecta a dispositivos FortiGate y servidores Windows.
Diagnóstico paso a paso
El diagnóstico inicia con la identificación de la capacidad del servidor DNS interno para resolver FQDN. Debemos verificar si se producen estos errores en el interno:
- Verificar la configuración del servidor DNS interno.
- Realizar consultas de DNS utilizando herramientas como NSLOOKUP.
- Capturar y analizar los paquetes de tráfico DNS en FortiGate para identificar posibles bloqueos en la comunicación.
Solución recomendada
Enunciado del Problema:
- Parece que el problema radica en que el servidor DNS interno no puede resolver correctamente la URL o no tiene un registro para la consulta DNS que recibió.
- Para resolver este inconveniente, se recomienda añadir un reenvío secundario al servidor DNS. Los reenvíos son servidores DNS que este puede utilizar para resolver consultas DNS de registros que no puede solucionar.
- A continuación, se incluye un enlace de referencia sobre cómo configurar el reenvío en el servidor DNS:
Configurar Reenviadores DNS – Windows Server 2016 · ReadAndExecute
Comandos CLI utilizados
Utiliza los siguientes comandos en el CLI de FortiGate para verificar el estado de tu configuración DNS:
diagnose sys dns list
get system dns
Buenas prácticas y recomendaciones
- Asegúrate de que los registros DNS estén actualizados y sean correctos en el servidor DNS interno.
- Considera la implementación de un sistema de redundancia para los servidores DNS internos y externos.
- Monitorea regularmente el rendimiento del servidor DNS para detectar y resolver cualquier incidencia rápidamente.
Notas adicionales
La implementación de un reenvío DNS ofrece un enfoque eficiente para resolver problemas de resolución sin modificar la configuración de los registros existentes. Esta práctica se alinea con las mejores prácticas de gestión de red y asegura que los usuarios internos tengan acceso continuo a los recursos necesarios.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!