Cómo configurar DNS proxy para GlobalProtect clientes
Symptom
En este artículo se muestra cómo configurar DNS el proxy para los GlobalProtect clientes.
Para obtener información sobre cómo configurar GlobalProtect en el , haga clic firewall aquí.
Para el enlace de vídeo, haga clic aquí.
Environment
- Pan-OS
- Globalprotect
Resolution
DNS proxy es un rol en el que firewall el es un intermediario entre clientes y servidores; actúa como un servidor mismo mediante la resolución de consultas desde su caché de DNS DNS DNS proxy. Si el nombre de dominio no se encuentra en la DNS caché de proxy, firewall las búsquedas de una coincidencia con el nombre de dominio entre las entradas del objeto proxy específico DNS (en la interfaz en la que llegó la DNS consulta) y reenvían la consulta a un DNS servidor en función de los resultados de coincidencia. Si no se encuentra ninguna coincidencia, se utilizan los DNS servidores predeterminados.
1. Identifique lo que es la interfaz del túnel mencionada en la configuración del GlobalProtect gateway. Red > global Protect > pasarelas:
2. Navegue a las interfaces de > de red > túnel y agregue la dirección a la interfaz del túnel identificada del paso IP anterior:
Nota: Esta IP dirección podría ser cualquier dirección IP aleatoria. Además, asegúrese de que hay una regla de enrutamiento y seguridad adecuada para permitir la comunicación entre esta IP dirección y el DNS servidor.
3. Vaya a Network > Global Protect > Gateways>Agent> Network Services. Configure esta IP dirección como servidor principal para los clientes de global DNS IP protect:
4. Navegue a la red > Global Protect > Gateways >Agent> Configuracióncliente>saver túnel>Incluir ruta de acceso. Configure esta IP dirección en la tabla de rutas de acceso para que los clientes de la protección global consiga la ruta para esto IP a través del túnel:
5. Vaya a Proxy de > de DNS red. Configure la interfaz del túnel para actuar como DNS proxy. Configure los servidores primarios y DNS secundarios que se utilizarán. DNS las reglas de proxy se pueden configurar para enviar una DNS consulta al servidor interno para DNS dominios internos. Si el dominio no coincide, DNS se usarían servidores predeterminados.
Nota: Si una DNS consulta viene a la interfaz del túnel firewall para, digamos, paloalto.panvmlab.com, el firewall enviará la petición al DNS 192.168.243.221. Sin embargo, si llega una DNS solicitud, supongamos, google.com, ya que el nombre de dominio no coincide con el nombre en la regla de proxy, firewall envía la solicitud a los servidores DNS predeterminados 8.8.8.8 o 4.2.2.2.
Del mismo modo, las entradas estáticas se pueden crear en el firewall modo que las solicitudes para que DNS FQDN respondan con una dirección estática IP configurada:
6- Configurar la seguridad policy y las reglas según sea necesario para la comunicación con servidores internos o NAT DNS externos. La fuente IP de DNS las peticiones sería la dirección de la interfaz del IP túnel:
La interfaz del túnel es la zona Trust-Wifi, el servidor interno DNS en la zona de confianza y el servidor externo en la zona de DNS untrust.
Additional Information
Verificación
- Testing-proxy.com resuelto a 1.1.1.1, que es la entrada estática configurada en DNS proxy
- paloalto.panvmlab.com resuelto a la dirección interna IP mediante el servidor interno desde que el nombre de dominio DNS coincidía
- google.com resuelto a su IP dirección utilizando el servidor principal externo ya que el nombre de dominio no DNS coincidía
- A continuación se presentan las sesiones creadas para consultas internas y DNS externas:
Nota: Para obtener más información sobre DNS el proxy, siga este enlace
DNS Proxy