FortiGate 防火牆如何設定 DNS Server Mater/Slave，以達到自動同步DNS主機設定？ - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

FortiGate 防火牆如何設定 DNS Server Mater/Slave，以達到自動同步DNS主機設定？

fortigate dns server mater/slave dns同步

b7307024 2021-06-15 23:51:12 ‧ 4290 瀏覽

分享至

各位前輩晚上好

我們公司有9個據點，都是使用FortiGate防火牆，
目前有使用其中一台 FortiGate 200D(192.168.10.254)，開啟DNS SERVER功能，給全公司使用，考量若是該台防火牆掛點，就不是只有單一據點網路無法正常使用，而是每台防火牆都要去修改DNS指向，還要告知使用者需要重開機，或者重啟Switch Hub，因此想要開啟備用DNS SERVER，也就是FortiGate 100D(192.168.20.254)。

小弟參考官方的教學，如下：
https://kb.fortinet.com/kb/documentLink.do?externalID=FD36650

但不管怎麼設定及測試，在Slave-DNS SERVER(192.168.20.254)的CLI介面下"diagnose test application dnsproxy 8"，都無法顯示如教學內容，帶出MASTER的DNS RECORD，請問我是哪個步驟做錯，還是少做了呢？

在此先感謝各位前輩了！晚安~

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

2 個回答

0

bluegrass

iT邦高手 1 級 ‧ 2021-06-17 11:56:00

沒看懂,也好像沒人看懂

不如你直接說說你想要的結果/SOLUTION

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

b7307024 iT邦新手 3 級 ‧ 2021-06-17 19:48:50 檢舉

簡單來說，就是兩台防火牆的DNS SERVER的資料能夠同步。

bluegrass iT邦高手 1 級 ‧ 2021-06-17 23:54:31 檢舉

你192.168.10.254跟192.168.20.254是不同SUBNET是吧?

個人認為你不SYNC的原因是因為用錯了SOURCE IP去抓對方的DB

以192.168.10.254為例

config system dns-database
edit "你那DNS DOMAIN"
set source-ip 192.168.10.254
set allow-transfer 192.168.20.254

以192.168.20.254為例

config system dns-database
edit "你那DNS DOMAIN"
set source-ip 192.168.20.254
set ip-master 192.168.10.254

bluegrass iT邦高手 1 級 ‧ 2021-06-18 00:05:36 檢舉

話說如果是考慮DNS備援
你司應該是搞兩台AD放到VM CLUSTER內
然後全部人都用AD去處理DNS才是呀-.-

你把FORTI當DNS用, 那天你公司如果要搞WINDOWS DOMIAN
到時候你還是得再改一次用戶DNS改回用AD當DNS才能JOIN DOMAIN

b7307024 iT邦新手 3 級 ‧ 2021-06-18 16:25:21 檢舉

但目前沒有計畫要使用AD，上級還會問為何要用AD，我還要去做評估報告等等，況且早期沒有做AD，之後買得電腦很多都是Home版，要改成專業版也是一大工程，所以暫時無計畫使用AD，謝謝！

bluegrass iT邦高手 1 級 ‧ 2021-06-18 16:46:07 檢舉

Home版電腦, 辛苦你了真是...=.=

登入發表回應

0

mytiny

iT邦超人 1 級 ‧ 2021-06-18 11:57:28

好吧！先說說看不懂的地方

不清楚樓主的網路環境，9個據點應該是在不同地方，互聯的方式為何?
根據KB，明顯FG是在同一段，樓主現在不同段，不同段就有路由因素要配合，路由若經IPsecVPN，因OS的版本不同，VPN的interface運作也會不同
樓主什麼設定都沒有列出，"是哪個步驟做錯，還是少做了呢？" ，有哪位大神能觀落陰呢?
一定有人如bluegrass大神建議過，自建DNS server，為何不採納?
根據2019年問答，貴公司沒有配合的廠商，除無法得到原廠技術支援外，FG200D也早已停產停保，以資安風險評估的狀況，應建議貴主管盡早擬訂應變計畫。

回應 2
分享
檢舉

b7307024 iT邦新手 3 級 ‧ 2021-06-18 16:33:50 檢舉

1.Hi-link VPN
2.如上,目前都是使用Hi-link VPN進行連接
3.步驟就是完全照著KB進行Double Check，所以才納悶為何不行，由於有些地方不便PO出，所以才採用直接詢問。
4.因為公司沒有AD環境
5.收到
感謝回覆！

mytiny iT邦超人 1 級 ‧ 2021-06-18 17:14:11 檢舉

如果是用HiLink，中間勢必會有另一段路由，與KB的LAB就會有不同，根據經驗如果網路架構不同，完全照KB未必可行，需要找出癥結
如果塗白放截圖也不行，就真的需要有技術的SI跟您一起work
依樓主經歷較熟軟體系統，公司不用AD也可以自建linux DNS
FortiOS版本是重要的，較舊的版本只能做內網DNS，且就算OS新版其DNS功能也很陽春
方法可以活用，如果DNS備援做不起來，可以用txt存成檔案，200D當機換成用100D接的時候再load回去
備援的方式，建議樓主先找時間做DR演練

沒幫上什麼忙，非常不好意思地。

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙