FortigateWebプロキシのスプリットブレインDNSの回避
以下に概説するセットアップでスプリットブレインDNSセットアップの必要性を回避するにはどうすればよいですか?
背景
Fortigate200Dを使用したかなり基本的なセットアップが「必要」です。
- DMZを使用した「サードレッグ」セットアップ
- 内部ユーザー用に明示的に定義されたWebプロキシ
- デフォルトゲートウェイがこのデバイスに設定される場合があります。
- 公開されているWebサイトの外部DNS。
この設定を探したり質問したりするたびに、 this ドキュメントに向けられます。これは、内部リソースからアクセスするためのさまざまなIPアドレスを介した スプリットブレインDNS を本質的に意味します。私は本当にそのルートに戻らないように一生懸命努力しています。
次のような応答があり、トラフィックが正しくルーティングされていなかったと思われます。
403 Forbidden: incorrect proxy service was requested
これまでのところ、ログには洞察が示されていません。パケットキャプチャも試しました(共有WebサーバーとFortigateの両方で)。これらは両方とも、パケットがFortigate内で死にかけていることを示しています。
スプリットブレインDNSを回避したい場合、外部ユーザーはVIP/NATがダウンしている外部IPを指すwww.timistheman.comにアクセスし、内部はルーティングされる内部IPを指すwww.mdmarra.localにアクセスします。 LANからDMZに。
内部ユーザーと外部ユーザーが同じFQDNに解決されるようにしたい場合は、DNSを異なるIPに分割するか、内部ユーザーをルーティングして(スティック上のルーター)戻します。