Ipsec Fortigate 80C No resuelve DNS

[Ser975]

Hola a todos

A ver si me podeis ayudar, que me he quedado atascado.
Tengo dos Fortigate 80c con un tunel Ipsec configurado de manera Estatica.
La tunel se levanta correctamente.
Desde ambos extremos hago perfectamente ping por IP. El problema es que no me resuelve por nombre.

No se si se me ha olvidado crear alguna regla en el firewall que permita la resolucion de nombres.
En el extremo A es donde tengo el servidor Dns.
En las politicas del Firewall de Internal (ip Servidor dns) a Wan1 (all), tengo habilitado que premita el servicio DNS
La politica de la vpn la tengo, de Internal-(Lan A) a Wan1 (Lan B) Service- Any /Encrypt

Cualquier ayuda será bienvenida

Muchas gracias de antemano

[gabyrossi]

Hola,como estas?

si usas dns interno y la vpn esta lan to lan... para que se vena todos contra todos, o aunque sea el dns hacia la otra red te va a funcionar los nombres.

va a depender los dns que usan en un fortigate contra el otro. o si tenes contra un forticlient lo mismo.

saludos

[Ser975]

Hola Gabriel

Gracias por la respuesta.
En principio esta configurado Lan to Lan. La duda que tengo es si tengo que configurar las dns del forti de la lan B (lan que tiene que adquirir los nombres de la A) apuntando al servidor dns de la A.
Es decir si en dentro del apartado Network - Options del fortigate B poner el servidor Dns del la lan A

"He resuelto" el problema temporalmente configurando las WINS pero creo que no deberia ser la solucion

Si me das alguna pista mas te a lo agradezco

Gracias nuevamente

[gabyrossi]

Hola, si en cada sucursal tenes dns, y de un lado tenes que resolver nombres del otro lado no te queda otra que usar los dns de los 2 o como hiciste wins.

O deberas trabajar en los dns, y cargar nombres para que lo resuelva cada uno.

si te funciona dejalo asi

saludos

[Ser975]

Muchas gracias Gabriel

Como bien dices cuando algo funciona mejor dejarlo como esta.
Aprovecho para hacerte una pregunta. Desde que he establecido los túneles compruebo que tengo microcortes en la red externa.
Los túneles están montados sobre una linea ADSL sobre Rdsi y 3 lineas adsl
La que me esta dando la lata es la adsl sobre Rdsi. Sabes si puede influir en algo? , porque también tengo la sospecha que pueda ser debido a fallo del router pero no he tenido ocasión de cambiarlo

Gracias nuevamente y un fuerte abrazo

[gabyrossi]

Hola, como estas? si tenes microcortes, hace un reclamo a tu proveedor.

saludos

[unknown2130]

Hola

Tengo el mismo problema de resolución de DNS con un fortigate 60b, pero sin tunel, al momento en que me conecto a la VPN me responde el ping por ip, pero no por nombre de equipo, de lo que estuve leyendo tengo configurado lo siguiente:

VPN
IPSEC
DHCP-IPsec [x] enable

System
DHCP
WAN1
SERVERS

Type (x) IPsec

IP Range 192.168.210.160 - 192.168.210.169
Network Mask 255.255.255.0
Default Gateway 192.168.210.10

Domain midominio.com

DNS Server 1 192.168.210.1

¿Me podrian orientar por favor para ver qu esta pasando?

Gracias

[gabyrossi]

Hola, llegas por ping al dns interno? hay politica para quellegues a ese dns a realizar consultas? pone un publico como secundario.

saludos

[unknown2130]

hola, si llego por ping al dns interno, si tengo una politica a ese dns para escritorio remoto, lo que no me queda claro es eso de poner un publico como secundario, gracias

[gabyrossi]

Hola, ademas de la politica hacia el dns interno con servicio de escritorio remoto tenes quye tener el servici de dns, sino jamas va a poder consultar los nombres.

saludos

[unknown2130]

Hola, Si tengo configurado el servidor DNS en en el equipo al que acceso por escritorio remoto, y en la politica del firewall de internal a wan1 en service tengo ANY, ¿o hay algun otro lado donde lo deba de configurar?

Gracias

[msegovia]

el mio es algo parecido quien me da una mano, vpn ipsec vs azure

[AndresW]

¿Tienes permitido el tráfico DNS en la policy asociada al túnel IPSec?.

Adicionalmente a esto, en el PC que utilizas detrás del FortiGate debes configurar la IP del DNS remoto como resolver para que puedas trabajar con FQDN.