Comunidad FORTIGATE.es

Buenas tardes a todos,

Hace un tiempo para acá hemos experimentado bastante lentitud con la navegación en internet, también en algunas ocasiones los usuarios con autorización para usar messenger se quejan que están bloqueados (se soluciona únicamente reiniciando el FG), sospechamos de la configuración DNS.

En la red se tiene un FG-80C con Firmware 4.0,build0513,120130 (MR3 Patch , un controlador de Dominio Windows 2008 (DNS Interno y DHCP). EL ámbito entrega como DNS primario la IP del DC Win2008 únicamente y el DNS interno hace forward a la IP LAN del FG-80C y a las IP´s del proveedor de servicio (ISP). El FG-80C en DNS settings tiene como Primary DNS server al DC Win2008 y Secondary DNS Server al DNS primario del ISP.También está configurado modo recursivo para todas las interfaces.
Todas las políticas (promediamos 120) se han construido con direcciones FQDN como address.
Existe una política para tráfico DNS en el TOP de la lista para el Servidor DC Win2008 como origen (no está habilitado NAT).

La lectura de los recursos no es elevada, CPU menos del 30% y memoria 55% promedio.

Al intentar realizar consultas DNS (nslookup) desde el servidor interno recibimos respuestas positivas y si intentamos hacer ping desde el FG-80c por
FQDN a los PC's internos también hay respuesta afirmativa (no hemos podido encontrar como hacer un nslookup por cli).

Hicimos una prueba cambiando el DNS de los clientes por uno público y configurando IP fija local con gateway el FG-80C y habilitando una política para esto vemos que el cliente navega con fluidez por lo que hemos descartado las opciones de UTM configuradas.

Les agradecería cualquier sugerencia al respecto sí han tenido un caso similar y lo han logrado resolver.

Gracias.

Hola, si tenes un dns interno ese debe tener como dns forward los dns tu proveedor.
el fortigate para que el uso propio de dns debe tener directamente los publicos.

las pc tendras como dns tu dns interno.

saludos

Gracias por la respuesta gabyrossi, así lo configuré inicialmente pero noté que el FG-80C no me funciona (no puede resolver los nombres de los PC internos) sí los address de mis PC locales están configurados por FQDN, por tal razón configuré en el FG-80C como Primary DNS al DC y como forward primario en el DC a la NIC internal del FG-80c. Está bién si habilito la recursividad para cada una de las interfaces..?

Hola, no entendi...

el fortigate no te funciona?¿ para que el fortigate deberia resolver nombre de pc??

para las pc el dns es el dns privado tuyo (server)

el server tiene formward a los dns publicos de tu proveedor

y el fortigate tiene como dns los publicos de tu proveedor y no necesiats resolver tus pc-...

con ese esquema no necesitas recursividad en el fortigate.

saludos

Gracias Gabyrossi,

El fortigate debería resolver los nombres de los PC's para que puedan trabajar las políticas que incluyan en "source address" objetos que están configurados como FQDN. He notado que al no poder resolver el FQDN intentará usar otra política dado que no hay coincidencia con el source address. Esta fue la razón que motivó a uar como primary DNS al DC y resolvió "la fuga" de políticas, pero penaliza las consultas. Sí trabajara solamente por IP la configuración que sugieres sería la adecuada pero lastimosamente no es el caso y estamos obligados a usar DHCP con liberación de direcciones muy cortas que es la causa principal para usar FQDN como firewall objects address.

Existe otra manera para que el Fortigate pueda trabajar cuando se configuran address como FQDN..?

Saludos,

Hola, aclaremos algo:

Address como FQDN, es para direcciones destino.
Para source no se usa, se usa por ip, rangos de ip o grupos de ip.
si eso no es factible, el siguiente paso es autenticar politicas ya sea por ad (usando fsso) , ldap, radius, usuarios locales. etc.


saludos

Gracias Gabyrossi por la respuesta, no sabía que para source no pudiera usar FQDN (aunque mi método funcionó bien por un tiempo, fue con el trancurrir que notamos lentitud).

Tendré que estudiar y configurar las políticas autenticando.

Gracias.

Buenas tardes,

La pregunta es muy interesante, ya que yo tengo varios equipos desde hace varios años y tienen configurado el Sourse Address con FQDN con el fin de indentificar el equipo por medio del DNS interno y darle a cada equipo una permisologia segun sea el caso. Me ha funcionado muy bien con MR, MR1 y MR2, pero cuando monto MR3 no me funciona, al realizar la busqueda por foros encuentro que solo funciona para Direcciones destino, pregunto si hay alguna forma que con el FQDN se pueda trabajar para con Sourse Address como antes, porque sino tendren que cambiar con la configuracion de mi estructura de Fortigates y probar con FSAE o equivalente.

Gracias

Hola, no se si no funciona. la idea es que los fqdn se usen para resolver url de internet.

tambien no es un buen procedimiento ya que para el equipo es costoso (performance) ya uq etiene que hacer busqueda resolviendo cada peticion....


saludos

Hola Gabyrossi,

Despuésa de leer y trabajar en la configuración de FSSO (en advanced mode con LDAP) y probar en una política con resultados positivos, me dispuse a cambiar las políticas haciendo uso de Enable Identity Based Policy y me surgió una duda, más bien varias dudas:

1. Debo usar como source address mi Subnet dado que las IP's cambian con mucha frecuencia..?
2. Puedo combinar protocolos autenticados (http, https, telnet y ftp) con protocolos que no autentican como por ejemplo dns, ping, ssh,tcp/1935 o tcp/8080..?
(lo pregunto porque probé con ANY y no tuve líos)
3. Cuándo no selecciono en la política la opción Fortinet Single Sign-ON (FSSO) debería aparecer una ventana de autenticación..? (hice la prueba pero no apareció y no permitió salida a Intenret)
4. Para qué podría utilizar la opción "Resolve User Names USing FSSO Agent", sí cuando uso IBP desaparece..?

Espero no abusar de tus conocimientos.

Cordial saludo.

hola,


1) sera la red que vas a autenticar por lo cual las pc en dominio esten conectadas.

2) si, podes tener los protocolos que necesites para navegacion. (si tenes un server dns privado, deja una politica arriba del todo para ese server con servicio dns sin autenticar).

3) Si no activas Fortinet Single Sign-ON (FSSO) debes agregar algun grupo de firewall ldap, radius o algo que quieras autenticar.

4)nose....

saludos