Fortigate İç N...
 
Bildirimler
Hepsini Temizle

Fortigate İç Networkde DNS sorunu  

Sayfa 1 / 2
  RSS
Caner AKTAŞ
(@CanerAKTAS)
Üye

Merhaba,

 

ilk önce yapıdan bahsedeyim 1 adet router interface de 6 farklı external ip bloğu var secondary olarak girişlmiş(Cisco 2600)

Aptal Switch ile bu interfaceden gelen kablo firewalla geliyor 6 port (Fortigate 200D)

tüm kurallar doğru ayarlar routingler herşey tamam. fakat şöyle bir hata var.

İçerdeki Sunucu DNS çözümleyemiyor. internet yok uyarısı almıyorum ama web sitelerde yayın yapıyor.

wan 1 deki xx ip bloğuna atınca DNS çözüyor. diğer 5 blok tan çözmüyor.

 

Alıntı
Gönderildi : 13/10/2016 13:33
İlyas YILDIZ
(@ilyasYILDIZ)
Üye

Merhaba,

Anladığım kadarı ile /29 ip bloğunuz var ama sadece firewallda tanımlı olan bir ip adresi mi çalışıyor?

Aptal switch üzerinden çalışmayan real ip adreslerini notebook'a girince o iplerdne internete çıkış sağlayabiliyor musunuz?

CevapAlıntı
Gönderildi : 13/10/2016 14:25
Caner AKTAŞ
(@CanerAKTAS)
Üye

hocam şöyle 1 tane /30 1 tane /25 tane /29 vs vs toplamda 6 tane blok var. bu 6 blok ta tek kablo üzerinden geliyor.

aptal swtichle kablo çoğalıp fortigate e geliyor. arkada sadece sunucular var. ve sunucularda İİS teki siteler çalışıyor. internet var yani.

ama dns çözümlemiyor. haliyle www.xxx.com yazınca gelmiyor. 

CevapAlıntı
Gönderildi : 13/10/2016 15:20
Erkan BÜYÜKBAYRAKTAROĞLU
(@erkanbbayraktaroglu)
Üye

DNS sunucunuzdaki gerekli yönlendirmeler normalmi? birde Forti200d de dns olarak 77.88.8.8 verip test edebilirmisiniz.

CevapAlıntı
Gönderildi : 13/10/2016 16:33
Halit ŞİMŞEK
(@HalitSiMSEK)
Üye

fortiye güncellememi yaptın ?

CevapAlıntı
Gönderildi : 13/10/2016 16:47
Caner AKTAŞ
(@CanerAKTAS)
Üye

Farklı DNSler denedim ama sonuç aynı. firewall üzerinden dns çözümleyebiliyorum zaten.

sorun sadece wan1 den yapabiliyor olmam. diğer ip bloklarından yapamıyorum.

 

Cihaz sıfır geldi daha önceden kerio diye bir cihaz vardı onun yerine kurulacak. Şuanki versiyonu 5.2.8

CevapAlıntı
Gönderildi : 13/10/2016 17:13
İlyas YILDIZ
(@ilyasYILDIZ)
Üye

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

 

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

CevapAlıntı
Gönderildi : 13/10/2016 17:25
Caner AKTAŞ
(@CanerAKTAS)
Üye

[quote user="İlyas YILDIZ"]

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

 

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

[/quote]

 

Hocam galiba şunu demek istiyorsunuz.

 

Wan1 den çıkar ama ip pool dan çıkarmak istediğin ip yi seç diyosunuz galiba.

CevapAlıntı
Gönderildi : 13/10/2016 18:07
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

merhaba,

sorunuz biraz karmaşık.

anladığım, test.com local'de yayınlanıyor.

public taraftan test.com çalışıyor.

local tarafta ise, erişim sağlanamıyor.

doğru mu ?

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 13/10/2016 18:17
Caner AKTAŞ
(@CanerAKTAS)
Üye

[quote user="Turan COŞKUN"]

merhaba,

sorunuz biraz karmaşık.

anladığım, test.com local'de yayınlanıyor.

public taraftan test.com çalışıyor.

local tarafta ise, erişim sağlanamıyor.

doğru mu ?

[/quote]

 

evet hocam. Nslookup yaptığınızda cevap alamıyorsunuz

CevapAlıntı
Gönderildi : 13/10/2016 18:27
İlyas YILDIZ
(@ilyasYILDIZ)
Üye

[quote user="Caner AKTAŞ"]

[quote user="İlyas YILDIZ"]

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

 

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

[/quote]

 

Hocam galiba şunu demek istiyorsunuz.

 

Wan1 den çıkar ama ip pool dan çıkarmak istediğin ip yi seç diyosunuz galiba.

[/quote]

 

evet doğru anladınız, eğer sorunuz dns suncusuna tanımlı olan real ip adresinin internet erişim problemi ise bunu yapmalaısnız.

CevapAlıntı
Gönderildi : 13/10/2016 19:34
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

[quote user="Caner AKTAŞ"]

 

evet hocam. Nslookup yaptığınızda cevap alamıyorsunuz[/quote]

sorun yüksek ihtimal nat reflection.

public int. üzerinde bulunan adrese, yönlendirme yapılamıyor.

bu domain için oluşturduğunuz dnat içerisinde kullanılan vip ile,  local2local policy oluşturup, tekrar deneyin.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 13/10/2016 19:44
Caner AKTAŞ
(@CanerAKTAS)
Üye

Hocam yönlendirme yapmadığını varsayarsak IIS nasıl yayın yapıyor ?

CevapAlıntı
Gönderildi : 13/10/2016 21:11
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

soru daha açık olabilir mi ?

bir anlam çıkaramadım.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 14/10/2016 12:50
Caner AKTAŞ
(@CanerAKTAS)
Üye

şöyleki ben bu ip lerden DNS çözümlemesi yapamıyorum. ama o sunucuda xxx.com sitesi aktif olarak yayın yapıyor.

yani sunucuda www.google.com a giremezken benim sunucumdaki www.xxx.com sitesi aktif olarak çalışıyor. buda yönlendirmelerin çalıştığı anlamına gelmez mi ?

CevapAlıntı
Gönderildi : 14/10/2016 14:48
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

[quote user="Caner AKTAŞ"]

şöyleki ben bu ip lerden DNS çözümlemesi yapamıyorum. ama o sunucuda xxx.com sitesi aktif olarak yayın yapıyor.

yani sunucuda www.google.com a giremezken benim sunucumdaki www.xxx.com sitesi aktif olarak çalışıyor. buda yönlendirmelerin çalıştığı anlamına gelmez mi ?

[/quote]

Caner bey,

sorularınızdan anlam çıkararak, size öneride bulunmak zor.

"aktif olarak yayın yapıyor" derken, public yönden gelen taleplere ( dnat ) cevap verebildiğini mi belirtiyorsunuz ?

yönlendirme ile kastınız nedir ? local / public

size tanımlanan vip'ler için, int. üzerinde policy'leri kontrol ettiniz mi ?

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 14/10/2016 16:44
Mustafa TAŞCI
(@mustafatasci)
Saygın Üye Forum Yöneticisi

Merhaba

dns cozemeyen lokasyonda tracert atar misin paket nerede dropl oluyor ,

6 tane kabloyu fortigate mi sonlandiriyorsunuz ?

Eger fortigate uzerinde public yayini kabul eden iis var ise , ve sizin internete cikisiniz o wan ip si ile ayniysa forti bu durumu loop olarak algiladigi icin paketleri kendisi drop ediyor olabilir.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/10/2016 13:36
Caner AKTAŞ
(@CanerAKTAS)
Üye

1 kablo geliyor hub ile çoğaltılıp fortigate e 6 kablo olarak sonlanıyor.

Siteler public yayın yapıyor o konuda sıkıntı yok. içeri alırken ve çıkarken VİP/NAT çalışıyor. Her yayın yapan sitenin ip si farklı bu yüzden drop edeceğini zannetmiyorum.

Tracert i sunucudan firewall a attığım zaman 1 hop oalrak gözüküyor. fakat sunucudan herhangi bir yere attığım zaman firewall dahil hiçbiryere gitmiyor.

 

Turan hocam,

 

Public yayın yapıyor IIS. Policylerde de bir yanlışlık yok.

CevapAlıntı
Gönderildi : 17/10/2016 17:28
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

dnat tarafında hem fikirdik.

sorununuz snat ve loopback için dnat tarafında.

icmp kapalı olabileceğinden, policy tarafında ilgili sunucu için tüm int. any any kural yazıp, tekrar deneyin. local2public / local2dmz vb.

loopback tarafında, mevcut dnat vip'i, local2local üzerinde de oluşturup, test edin.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 17/10/2016 17:34
Sayfa 1 / 2
Paylaş: