Fortigate İç Networkde DNS sorunu

Merhaba,

Anladığım kadarı ile /29 ip bloğunuz var ama sadece firewallda tanımlı olan bir ip adresi mi çalışıyor?

Aptal switch üzerinden çalışmayan real ip adreslerini notebook'a girince o iplerdne internete çıkış sağlayabiliyor musunuz?

hocam şöyle 1 tane /30 1 tane /25 tane /29 vs vs toplamda 6 tane blok var. bu 6 blok ta tek kablo üzerinden geliyor.

aptal swtichle kablo çoğalıp fortigate e geliyor. arkada sadece sunucular var. ve sunucularda İİS teki siteler çalışıyor. internet var yani.

ama dns çözümlemiyor. haliyle www.xxx.com yazınca gelmiyor. 

DNS sunucunuzdaki gerekli yönlendirmeler normalmi? birde Forti200d de dns olarak 77.88.8.8 verip test edebilirmisiniz.

fortiye güncellememi yaptın ?

Farklı DNSler denedim ama sonuç aynı. firewall üzerinden dns çözümleyebiliyorum zaten.

sorun sadece wan1 den yapabiliyor olmam. diğer ip bloklarından yapamıyorum.

Cihaz sıfır geldi daha önceden kerio diye bir cihaz vardı onun yerine kurulacak. Şuanki versiyonu 5.2.8

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

 

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

Hocam galiba şunu demek istiyorsunuz.

Wan1 den çıkar ama ip pool dan çıkarmak istediğin ip yi seç diyosunuz galiba.

merhaba,

sorunuz biraz karmaşık.

anladığım, test.com local'de yayınlanıyor.

public taraftan test.com çalışıyor.

local tarafta ise, erişim sağlanamıyor.

doğru mu ?

merhaba,

sorunuz biraz karmaşık.

anladığım, test.com local'de yayınlanıyor.

public taraftan test.com çalışıyor.

local tarafta ise, erişim sağlanamıyor.

doğru mu ?

evet hocam. Nslookup yaptığınızda cevap alamıyorsunuz

merhaba,

arkada çalışan / yönlendirmesi yapılan real ip adresleri üzerindeki iplere dışardan erişiliyor galiba? ip yönlendime problemi bulunmuyor.

Anladığım kadarı ile wan-1 üzerinde statik olarak ip tanımı mevcut ve bunu kullanınca tanım çalışıyor.

 

Diğer yönlendirmesi yapılan ip adreslerini firewall üzerinde wan-1 zonu altında tanımlayın. object yaparak.

daha sonra kuralı bu oluşturduğunuz objectleri kullanarak yapın.

böyle diğer iplerden de erişim sağlayabilirsiniz.

 

Hocam galiba şunu demek istiyorsunuz.

 

Wan1 den çıkar ama ip pool dan çıkarmak istediğin ip yi seç diyosunuz galiba.

evet doğru anladınız, eğer sorunuz dns suncusuna tanımlı olan real ip adresinin internet erişim problemi ise bunu yapmalaısnız.

 

evet hocam. Nslookup yaptığınızda cevap alamıyorsunuz

sorun yüksek ihtimal nat reflection.

public int. üzerinde bulunan adrese, yönlendirme yapılamıyor.

bu domain için oluşturduğunuz dnat içerisinde kullanılan vip ile,  local2local policy oluşturup, tekrar deneyin.

Hocam yönlendirme yapmadığını varsayarsak IIS nasıl yayın yapıyor ?

soru daha açık olabilir mi ?

bir anlam çıkaramadım.

şöyleki ben bu ip lerden DNS çözümlemesi yapamıyorum. ama o sunucuda xxx.com sitesi aktif olarak yayın yapıyor.

yani sunucuda www.google.com a giremezken benim sunucumdaki www.xxx.com sitesi aktif olarak çalışıyor. buda yönlendirmelerin çalıştığı anlamına gelmez mi ?

şöyleki ben bu ip lerden DNS çözümlemesi yapamıyorum. ama o sunucuda xxx.com sitesi aktif olarak yayın yapıyor.

yani sunucuda www.google.com a giremezken benim sunucumdaki www.xxx.com sitesi aktif olarak çalışıyor. buda yönlendirmelerin çalıştığı anlamına gelmez mi ?

Caner bey,

sorularınızdan anlam çıkararak, size öneride bulunmak zor.

"aktif olarak yayın yapıyor" derken, public yönden gelen taleplere ( dnat ) cevap verebildiğini mi belirtiyorsunuz ?

yönlendirme ile kastınız nedir ? local / public

size tanımlanan vip'ler için, int. üzerinde policy'leri kontrol ettiniz mi ?

Merhaba

dns cozemeyen lokasyonda tracert atar misin paket nerede dropl oluyor ,

6 tane kabloyu fortigate mi sonlandiriyorsunuz ?

Eger fortigate uzerinde public yayini kabul eden iis var ise , ve sizin internete cikisiniz o wan ip si ile ayniysa forti bu durumu loop olarak algiladigi icin paketleri kendisi drop ediyor olabilir.

1 kablo geliyor hub ile çoğaltılıp fortigate e 6 kablo olarak sonlanıyor.

Siteler public yayın yapıyor o konuda sıkıntı yok. içeri alırken ve çıkarken VİP/NAT çalışıyor. Her yayın yapan sitenin ip si farklı bu yüzden drop edeceğini zannetmiyorum.

Tracert i sunucudan firewall a attığım zaman 1 hop oalrak gözüküyor. fakat sunucudan herhangi bir yere attığım zaman firewall dahil hiçbiryere gitmiyor.

Turan hocam,

Public yayın yapıyor IIS. Policylerde de bir yanlışlık yok.

dnat tarafında hem fikirdik.

sorununuz snat ve loopback için dnat tarafında.

icmp kapalı olabileceğinden, policy tarafında ilgili sunucu için tüm int. any any kural yazıp, tekrar deneyin. local2public / local2dmz vb.

loopback tarafında, mevcut dnat vip'i, local2local üzerinde de oluşturup, test edin.