VPN S-T-S y DNS

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
juan_cipolletti
Mensajes: 4
Registrado: 30 Nov 2021, 13:02

VPN S-T-S y DNS

Mensaje por juan_cipolletti »

Buenas, soy nuevo en el Foro y en el mundo Fortigate, actualmente tengo un equipo 50e, configurado por el proveedor ISP como VDOM
Tengo configurada una VPN IPSec Site To Site contra un Firewall Palo Alto, la misma esta funcionando OK, ambas redes/subredes se alcanzan entre si
Pero necesito desde el sitio remoto A(lado Fortigate) use DNS x.x.x.x local, alojado en el sitio remoto B(lado P.A)
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: VPN S-T-S y DNS

Mensaje por AndresW »

Hola,

Sólo debes permitir a nivel de una política de firewall el tráfico al puerto DNS desde la puerta LAN del Sitio A hacia la interfaz lógica que se genera con el túnel IPSec, y luego asignarle a cada usuario ya sea de manera estática o DHCP la IP del DNS que se encuentra por el lado del PA (Sitio B).

Si en el otro extremo también tienen permitido este tipo de tráfico desde la red detrás del FG (Sitio A), debieras poder alcanzar el DNS sin problemas.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
juan_cipolletti
Mensajes: 4
Registrado: 30 Nov 2021, 13:02

Re: VPN S-T-S y DNS

Mensaje por juan_cipolletti »

Buenas Andrew, te adjunto 3 imagenes, 1 es de las politica de firewall donde permito todo desde el SITIO A de ida y devuelta...tendria que aplicar inclusive el trafico tipo DNS o ademas tengo que agregar una particularmente para dicho trafico.
las otras imagenes son de VPN IPSEC tunnel site to site, donde en ninguna parte de los campos me permite definir el DNS manualmente, etc....
te paso la version y modelo de Fortigate:
Version: FortiGate-50E v6.0.12
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: VPN S-T-S y DNS

Mensaje por AndresW »

Hola Juan:

A nivel de túnel no se debe modificar nada, y en las políticas de firewall se ve que ya tienes permitido el tráfico ANY bidireccional, lo que está correcto (aunque no es una buena práctica en seguridad). En el tema de los DNS tienes una confusión, puesto que los que se definen en el FortiGate no tienen relación con los que los clientes/usuarios locales harán uso. Para esto tienes que definir la(s) IP del(los) DNS remotos (Sitio B) en cada estación de trabajo, ya sea manualmente o vía DHCP.

Si tienes Telegram, te invito al grupo que está en mi firma y ahí podremos guiarte más rápidamente.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
juan_cipolletti
Mensajes: 4
Registrado: 30 Nov 2021, 13:02

Re: VPN S-T-S y DNS

Mensaje por juan_cipolletti »

Entiendo Andrew, la necesidad seria por DHCP, porque estatico podria perjudicar al usuario si usara su laptop en otro lugar...un dato que ayudaria a entender mi escenario, es que los usuarios del Sitio B se mueven al Sitio A con sus laptop, en ambos lados se conectan por Wireless, asignando en cada lugar respectivamente las IP dinamicamente...el tema es que estos usuarios tienen mapeadas unidades de repositorio por ejemplo o aplicaciones de escritorio, configurados con por Nombres del server DNS local del sitio B, por lo tanto necesito que cuando esten en el Sitio A y vayan a buscar cualquier server de la subred del Sitio B pueda resolver dichos dichos nombres con los DNS no publicos que usan para navegar en internet,si no con locales en el Sitio B.
Andrew, no tengo telegram.....alguna otra alternativa?. Gracias
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: VPN S-T-S y DNS

Mensaje por AndresW »

Por eso mismo, si están en el Sitio-B utilizarán los DNS locales y todo queda ahí mismo, ahora si van al Sitio-A el DHCP les seguirá entregando dentro de los DNS el del Sitio-B y a través del túnel alcanzarán los recursos remotamente. Aquí lo importante es que el DHCP en el Sitio-A entregue 2 DNS resolvers, uno público y otro interno (Sitio-B), ya que las queries DNS se hacen de manera secuencial, y si el resolver público no tiene la respuesta pasa al interno y ahí si recibirá una respuesta válida que le permita llegar a las unidades mapeadas, aplicaciones, etc.

Te dejé un mensaje privado con una alternativa de contacto.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
juan_cipolletti
Mensajes: 4
Registrado: 30 Nov 2021, 13:02

Re: VPN S-T-S y DNS

Mensaje por juan_cipolletti »

OK Andres, pruebo agregando el DNS interno en el DHCP de los clientes del Sitio A y si queda ok, cierro el tema.Gracias
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: VPN S-T-S y DNS

Mensaje por AndresW »

Buenísimo, ahí nos cuentas como te resultó todo.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder