Comment configurer DNS proxy pour les GlobalProtect clients

DNS proxy est un rôle dans lequel le est firewall un intermédiaire entre les clients et les DNS serveurs; il agit comme un serveur DNS lui-même en résolvant les requêtes à partir de son DNS cache proxy. Si le nom de domaine n’est pas trouvé dans DNS le cache proxy, les recherches pour une correspondance au nom de domaine parmi les firewall entrées dans l’objet DNS proxy spécifique DNS (sur l’interface sur laquelle la requête est arrivée), et a transmis la requête à un DNS serveur en fonction des résultats de correspondance. Si aucune correspondance n’est trouvée, les serveurs DNS par défaut sont utilisés.

1. Identifiez quelle est l’interface du tunnel mentionnée dans la GlobalProtect configuration Gateway. Réseau > global Protect > passerelles:

2. Accédez aux interfaces > réseau > tunnel et ajoutez l’adresse à IP l’interface du tunnel identifiée à partir de l’étape précédente :

Note: Cette adresse IP peut être n’importe quelle IP adresse aléatoire. Assurez-vous également qu’il existe une règle de routage et de sécurité appropriée pour permettre la communication entre IP cette adresse et le DNS serveur.

3. Accédez aux services de > et de protection > les passerelles>agent> services de réseau. Configurez IP cette adresse comme serveur principal pour les clients global protect DNS IP :

4. Accédez à Network > Global Protect > Gateways >Agent>client Settings>split tunnel>Include Access route. Configurez cette IP adresse dans le tableau des itinéraires d’accès afin que les clients de protection globale s’en acheminer par tunnel IP :

5. Naviguez vers network > DNS Proxy. Configurez l’interface du tunnel pour agir comme DNS proxy. Configurez les serveurs DNS primaires et secondaires à utiliser. DNS les règles proxy peuvent être configurées pour DNS envoyer une requête au serveur interne pour les domaines DNS internes. Si le domaine n’est pas apparié, DNS des serveurs par défaut seront utilisés.

Note: Si DNS une requête arrive à firewall l’interface du tunnel pour, disons, paloalto.panvmlab.com, le firewall enverra la demande au DNS 192.168.243.221. Toutefois, si une DNS demande vient pour, disons, google.com, puisque le nom de domaine ne correspond pas au nom dans la règle proxy, firewall l’envoie la demande aux serveurs par défaut DNS 8.8.8.8 ou 4.2.2.2.

De même, les entrées statiques peuvent être créées firewall sur le de sorte que les demandes pour cela répond avec une adresse statique DNS FQDN IP configurée:

6- Configurer la policy sécurité et les règles au besoin pour la communication avec des serveurs internes ou NAT DNS externes. Source IP des demandes serait DNS l’adresse d’interface IP tunnel:

L’interface tunnel est la zone Trust-Wifi, DNS le serveur interne dans la zone Trust et le serveur externe dans la zone DNS Untrust.