Fallo al resolver FQDN

[LuisMLG]

Saludos a todos,

He creado una regla en mi Forti 310B, la cual tiene un IP origen y un IP destino, la IP de destino la he creado como entrada FQDN en la secciones de Address. Pues bien no funciona, no deja pasar el tráfico hacia el destino. Para probar cree el destino como IP normal. De esta manera la regla funciona correctamente. Entonces, pensé quie sería problema de las DNS, me fui a System>Network>Options y efectivamente el DNS que allí figuraba ya no estaba operativo. Lo cambien por los correctos y bueno.... la sorpresa es que por FQDN sigue sin funcionar. le he puedo el dominio (que antes nos estaba puesto) pero anda sigue sin funcionar. No se que hacer, solo me queda rebootar el Forti pero está en producción y para eso tendría que pedir una parada... es decir, es el último recurso.

Que me podéis decir? alguna idea de que puede estar fallando.

Gracias por las respuestas!

[gabyrossi]

Hola, algunas cosas para que revises.

si cambias el dns del fortigate, salvo que los equipos (pc) usen como dns la ip de alguna interface interna del fortigate solo ese dns lo usar el fortigate para resolver las consulas de dns probias, ya sea fiortiguard webfiltering, actulizaciones varias, etc.

si el fortigate tiene dhcp en alguna interfacem ahi tambien modificaste el dns?

desde el cli del fortigate si haces execute ping y el nombre del fqdn o direccion por nombre te resuelve?

las pc que dns tienen?

saludos

[LuisMLG]

Hola de nuevo,

- El fortigate no es servidor DNS apra nadie, ni PC ni servidores ni nada.
- Nosotros internamente tenemos dos servidores DNS win2008, esos son los que le puse en el Fortigate y los que usan los PCs.
- Cuando hago un execute ping al "nombre" si me llega y me resuelve la IP.
- No tenemos DHCP activado en ningún sitio.

Espero que con estas respuestas puedas ayudarme, por que la verdad me he quedado sin ideas.
Gracias.

[gabyrossi]

Hola, si hiciste el ping al nombrer y te resuelve anda bien .

la politica tiene que sea ejemplo:

source --------------------------------DESTINO --------------------------------servicios---------------- y la politica lleva NAT
LAN_iNTERNA -----------------www.ole.com.ar----------------------------------any-------------------


saludos

[LuisMLG]

La politica está exactamente así, pero sin NAT ya que no nateamos debido a que todo está en una Intranet. Imaina que poniendo lo que has puesto abajo, no consiguieras llegar... pero si cambias la direccion [Debes identificarte para poder ver enlaces.] por la ip si funcionase.... pues es lo que me está pasando a mi....

alguna idea?

Gracias!

[gabyrossi]

Hola, el nat tiene que estar siempre en una politica que salga a internet.

saludos

[LuisMLG]

Te comento, nuestra empresa esta dentro de una intranet empresarial. Dentro de la intranet cada empresa tiene su direccionamiento del tipo 10.X.X.X, luego la corporación tiene unos proxies y que son los que nos dan la salida a internet a todos. Por eso no se hace NAT, no salimos directamente a internet.

saludos.

[gabyrossi]

mmm que raro... entonces tenes 2 lugares para revisar... proxy y fortigate.

saludos

[LuisMLG]

El proxy no es por que a las direcciones que intento acceder son corporativas no salgo a internet, sino a la intranet corporativa. Que mas podría hacer/mirar? Alguna idea?

[gabyrossi]

Hola, comoi estas?

a ver:
si desde el fortigate haces execute ping [Debes identificarte para poder ver enlaces.] (o la url que estas agregando como fqdn) y te resuelve. el problema es otro y no de dns.Esto suponiendo que se esta usando el mismo dns.

Podrias mostrarnos como armaste el fqdn ???? y la politica de firewall ?

saludos

[LuisMLG]

Perdona por no haber dicho anda antes he estado realmente liado, y este asunto no era critico ya que en vez de FQDN usé la IP. Pero lo retomamos si te parece....

la dns resuelve bien, lo probé desde el CLI y ningún problema.

La FQDN: la monté así:
Address Name: pasarela.junta.es
Type: FQDN
FQDN:pasarela.junta.es
interface: EXT (externo, el que me conecta con el exterior)

Politica:
Source Interface/Zone: FrontEnd
Source Address: IP Monitor
Destination Interface/Zone: EXT
Destination Address: pasarela.junta.es
Schedule: Always
Service: pasarela-sms (es un servicio que me cree para este asunto)
Action: ACCEPT

La cosa es que así no va y en cuanto sustituyo la Destination Address: pasarela.junta.es por la IP.pasarela.sms, si funciona.

Bueno pues nada a ver si damos con la tecla....

GRACIAS!!

[gabyrossi]

Hola, si le hago ping a pasarela.junta.es resuelve a 82.98.86.163
es correcta?

pasarela.junta.es te lleva a una ulr que no tiene nada... solo linka otras.


la ip que pones vos pones es la misma ip?

la politica salite tiene nat activo supongo

saludos

[LuisMLG]

Los datos que te puse no se reales no quería dar datos verdaderos en un foro publico. Pero yo desde el forti hago ping al nombre y me resuelve y llega sin problemas. La IP que resuelve es la que uso en vez del nombre FQDN.
No uso NAT, como te comenté estamos en una intranet cada seda tiene un direccionamiento, y no tienen que natear.

No sé si te he ayudado...
saludos.

[gabyrossi]

Hola, si te pasa con todas los fqdn hay algun tema, si te pasa con algunos, puede que no sen el nombre correcto para que resuelva a la ip.

saludos