Forum

Fortigate İç N...
 
Bildirimler
Hepsini Temizle

Fortigate İç Networkde DNS sorunu

28 Yazılar
6 Üyeler
0 Likes
2,217 Görüntüleme
(@CanerAKTAS)
Gönderiler: 84
Estimable Member
Konu başlatıcı
 

Merhaba,

 

ilk önce yapıdan bahsedeyim 1 adet router interface de 6 farklı external ip bloğu var secondary olarak girişlmiş(Cisco 2600)

Aptal Switch ile bu interfaceden gelen kablo firewalla geliyor 6 port (Fortigate 200D)

tüm kurallar doğru ayarlar routingler herşey tamam. fakat şöyle bir hata var.

İçerdeki Sunucu DNS çözümleyemiyor. internet yok uyarısı almıyorum ama web sitelerde yayın yapıyor.

wan 1 deki xx ip bloğuna atınca DNS çözüyor. diğer 5 blok tan çözmüyor.

 

 
Gönderildi : 13/10/2016 13:33

(@ilyasYILDIZ)
Gönderiler: 441
Honorable Member
 

Merhaba,

Anladığım kadarı ile /29 ip bloğunuz var ama sadece firewallda tanımlı olan bir ip adresi mi çalışıyor?

Aptal switch üzerinden çalışmayan real ip adreslerini notebook'a girince o iplerdne internete çıkış sağlayabiliyor musunuz?

 
Gönderildi : 13/10/2016 14:25

(@CanerAKTAS)
Gönderiler: 84
Estimable Member
Konu başlatıcı
 

hocam şöyle 1 tane /30 1 tane /25 tane /29 vs vs toplamda 6 tane blok var. bu 6 blok ta tek kablo üzerinden geliyor.

aptal swtichle kablo çoğalıp fortigate e geliyor. arkada sadece sunucular var. ve sunucularda İİS teki siteler çalışıyor. internet var yani.

ama dns çözümlemiyor. haliyle www.xxx.com yazınca gelmiyor. 

 
Gönderildi : 13/10/2016 15:20

(@erkanbbayraktaroglu)
Gönderiler: 376
Reputable Member
 

DNS sunucunuzdaki gerekli yönlendirmeler normalmi? birde Forti200d de dns olarak 77.88.8.8 verip test edebilirmisiniz.

 
Gönderildi : 13/10/2016 16:33

(@HalitSiMSEK)
Gönderiler: 94
Estimable Member
 

fortiye güncellememi yaptın ?

 
Gönderildi : 13/10/2016 16:47

(@CanerAKTAS)
Gönderiler: 84
Estimable Member
Konu başlatıcı
 

Farklı DNSler denedim ama sonuç aynı. firewall üzerinden dns çözümleyebiliyorum zaten.

sorun sadece wan1 den yapabiliyor olmam. diğer ip bloklarından yapamıyorum.

 

Cihaz sıfır geldi daha önceden kerio diye bir cihaz vardı onun yerine kurulacak. Şuanki versiyonu 5.2.8

 
Gönderildi : 13/10/2016 17:13

(@ilyasYILDIZ)
Gönderiler: 441
Honorable Member
 

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

 

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

 
Gönderildi : 13/10/2016 17:25

(@CanerAKTAS)
Gönderiler: 84
Estimable Member
Konu başlatıcı
 

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

 

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

 

Hocam galiba şunu demek istiyorsunuz.

 

Wan1 den çıkar ama ip pool dan çıkarmak istediğin ip yi seç diyosunuz galiba.

 
Gönderildi : 13/10/2016 18:07

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

sorunuz biraz karmaşık.

anladığım, test.com local'de yayınlanıyor.

public taraftan test.com çalışıyor.

local tarafta ise, erişim sağlanamıyor.

doğru mu ?

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 13/10/2016 18:17

(@CanerAKTAS)
Gönderiler: 84
Estimable Member
Konu başlatıcı
 

merhaba,

sorunuz biraz karmaşık.

anladığım, test.com local'de yayınlanıyor.

public taraftan test.com çalışıyor.

local tarafta ise, erişim sağlanamıyor.

doğru mu ?

 

evet hocam. Nslookup yaptığınızda cevap alamıyorsunuz

 
Gönderildi : 13/10/2016 18:27

(@ilyasYILDIZ)
Gönderiler: 441
Honorable Member
 

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

 

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

 

Hocam galiba şunu demek istiyorsunuz.

 

Wan1 den çıkar ama ip pool dan çıkarmak istediğin ip yi seç diyosunuz galiba.

 

evet doğru anladınız, eğer sorunuz dns suncusuna tanımlı olan real ip adresinin internet erişim problemi ise bunu yapmalaısnız.

 
Gönderildi : 13/10/2016 19:34

(@turancoskun)
Gönderiler: 4100
Üye
 

 

evet hocam. Nslookup yaptığınızda cevap alamıyorsunuz

sorun yüksek ihtimal nat reflection.

public int. üzerinde bulunan adrese, yönlendirme yapılamıyor.

bu domain için oluşturduğunuz dnat içerisinde kullanılan vip ile,  local2local policy oluşturup, tekrar deneyin.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 13/10/2016 19:44

(@CanerAKTAS)
Gönderiler: 84
Estimable Member
Konu başlatıcı
 

Hocam yönlendirme yapmadığını varsayarsak IIS nasıl yayın yapıyor ?

 
Gönderildi : 13/10/2016 21:11

(@turancoskun)
Gönderiler: 4100
Üye
 

soru daha açık olabilir mi ?

bir anlam çıkaramadım.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/10/2016 12:50

(@CanerAKTAS)
Gönderiler: 84
Estimable Member
Konu başlatıcı
 

şöyleki ben bu ip lerden DNS çözümlemesi yapamıyorum. ama o sunucuda xxx.com sitesi aktif olarak yayın yapıyor.

yani sunucuda www.google.com a giremezken benim sunucumdaki www.xxx.com sitesi aktif olarak çalışıyor. buda yönlendirmelerin çalıştığı anlamına gelmez mi ?

 
Gönderildi : 14/10/2016 14:48

(@turancoskun)
Gönderiler: 4100
Üye
 

şöyleki ben bu ip lerden DNS çözümlemesi yapamıyorum. ama o sunucuda xxx.com sitesi aktif olarak yayın yapıyor.

yani sunucuda www.google.com a giremezken benim sunucumdaki www.xxx.com sitesi aktif olarak çalışıyor. buda yönlendirmelerin çalıştığı anlamına gelmez mi ?

Caner bey,

sorularınızdan anlam çıkararak, size öneride bulunmak zor.

"aktif olarak yayın yapıyor" derken, public yönden gelen taleplere ( dnat ) cevap verebildiğini mi belirtiyorsunuz ?

yönlendirme ile kastınız nedir ? local / public

size tanımlanan vip'ler için, int. üzerinde policy'leri kontrol ettiniz mi ?

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/10/2016 16:44

(@mustafatasci)
Gönderiler: 1644
Üye
 

Merhaba

dns cozemeyen lokasyonda tracert atar misin paket nerede dropl oluyor ,

6 tane kabloyu fortigate mi sonlandiriyorsunuz ?

Eger fortigate uzerinde public yayini kabul eden iis var ise , ve sizin internete cikisiniz o wan ip si ile ayniysa forti bu durumu loop olarak algiladigi icin paketleri kendisi drop ediyor olabilir.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 16/10/2016 13:36

(@CanerAKTAS)
Gönderiler: 84
Estimable Member
Konu başlatıcı
 

1 kablo geliyor hub ile çoğaltılıp fortigate e 6 kablo olarak sonlanıyor.

Siteler public yayın yapıyor o konuda sıkıntı yok. içeri alırken ve çıkarken VİP/NAT çalışıyor. Her yayın yapan sitenin ip si farklı bu yüzden drop edeceğini zannetmiyorum.

Tracert i sunucudan firewall a attığım zaman 1 hop oalrak gözüküyor. fakat sunucudan herhangi bir yere attığım zaman firewall dahil hiçbiryere gitmiyor.

 

Turan hocam,

 

Public yayın yapıyor IIS. Policylerde de bir yanlışlık yok.

 
Gönderildi : 17/10/2016 17:28

(@turancoskun)
Gönderiler: 4100
Üye
 

dnat tarafında hem fikirdik.

sorununuz snat ve loopback için dnat tarafında.

icmp kapalı olabileceğinden, policy tarafında ilgili sunucu için tüm int. any any kural yazıp, tekrar deneyin. local2public / local2dmz vb.

loopback tarafında, mevcut dnat vip'i, local2local üzerinde de oluşturup, test edin.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 17/10/2016 17:34

Sayfa 1 / 2
Paylaş: