Konfigurieren des DNS Proxys für GlobalProtect Clients
Symptom
In diesem Artikel wird gezeigt, wie DNS Sie Proxys für GlobalProtect Clients konfigurieren.
Für Informationen zur Konfiguration GlobalProtect auf klicken Sie bitte firewall hier.
Für den Video-Link klicken Sie bitte hier.
Environment
- Pan-OS
- Globalprotect
Resolution
DNS Proxy ist eine Rolle, bei der der firewall ein Vermittler zwischen Clients und Servern DNS ist; er fungiert als Server DNS selbst, indem er Abfragen aus seinem DNS Proxycache auflöst. Wenn der Domänenname nicht im Proxycache gefunden DNS wird, wird die firewall Abfrage nach einer Übereinstimmung mit dem Domänennamen unter den Einträgen im bestimmten DNS Proxyobjekt (auf der Schnittstelle, auf der die DNS Abfrage angekommen ist) gefunden und die Abfrage basierend auf den Übereinstimmungsergebnissen an einen DNS Server weitergeleitet. Wenn keine Übereinstimmung gefunden wird, werden die DNS Standardserver verwendet.
1. Identifizieren Sie, auf welche Tunnelschnittstelle in der GlobalProtect Gateway-Konfiguration verwiesen wird. Netzwerk > Global Protect > Gateways:
2. Navigieren Sie zu Netzwerk->-Schnittstellen > Tunnel und fügen Sie die Adresse zur Tunnelschnittstelle hinzu, IP die im vorherigen Schritt identifiziert wurde:
Hinweis: Bei dieser Adresse kann es IP sich um eine beliebige zufällige Adresse IP richten. Stellen Sie außerdem sicher, dass eine ordnungsgemäße Routing- und Sicherheitsregel vorhanden ist, um die Kommunikation zwischen dieser Adresse und dem Server zu IP DNS ermöglichen.
3. Navigieren Sie zu Network > Global Protect > Gateways>Agent> Network Services. Konfigurieren Sie diese IP Adresse als primären Server für Global Protect DNS IP Clients:
4. Navigieren Sie zu Network > Global Protect > Gateways >Agent>client-Einstellungen>Split-Tunnel>Include Access route. Konfigurieren Sie diese IP Adresse in der Tabelle "Zugriffsrouten", sodass globale Schutzclients die Route dafür durch den Tunnel IP erhalten:
5. Navigieren Sie zu DNS Netzwerk->-Proxy. Konfigurieren Sie die Tunnelschnittstelle so, dass sie als DNS Proxy fungiert. Konfigurieren Sie die zu verwendenden primären und DNS sekundären Server. DNS Proxyregeln können so konfiguriert werden, dass eine Abfrage für interne Domänen an den internen Server gesendet DNS DNS wird. Wenn die Domäne nicht übereinstimmt, DNS werden Standardserver verwendet.
Hinweis: Wenn eine DNS Abfrage an die firewall Tunnelschnittstelle für, sagen wir, paloalto.panvmlab.com, sendet die firewall die Anforderung an DNS 192.168.243.221. Wenn jedoch eine DNS Anforderung eingeht, sagen wir, google.com, da der Domänenname nicht mit dem Namen in der Proxyregel übereinstimmt, sendet die firewall Anforderung an die DNS Standardserver 8.8.8.8 oder 4.2.2.2.
Ebenso können statische Einträge auf der erstellt firewall werden, sodass DNS Anforderungen dafür mit einer FQDN konfigurierten statischen IP Adresse antworten:
6- Konfigurieren Sie Sicherheit und Regeln, wie sie für die policy Kommunikation mit internen oder externen Servern erforderlich NAT DNS sind. Quelle IP der Anforderungen wäre die DNS IP Tunnelschnittstellenadresse:
Tunnelschnittstelle ist Trust-Wifi Zone, Interner DNS Server in Trust Zone und Externer Server in DNS Untrust Zone.
Additional Information
Überprüfung
- Testing-proxy.com auf 1.1.1.1 aufgelöst, was der statische Eintrag ist, der im Proxy konfiguriert ist. DNS
- paloalto.panvmlab.com mithilfe des internen Servers in die interne IP Adresse DNS aufgelöst, da der Domänenname übereinstimmt
- google.com mithilfe des externen primären Servers auf seine Adresse aufgelöst, IP DNS da der Domänenname nicht übereinstimmte
- Im Folgenden sind die Sitzungen für interne und externe DNS Abfragen erstellt:
Hinweis: Für weitere Informationen über DNS Proxy folgen Sie bitte diesem Link
DNS Proxy