大家好,經過一週尋找解決方案都還是無法正常運作。
所以想來詢問各位大神
目前環境:
有線網路:
Client 桌上型電腦 無論有無加入AD,均可存取
1.使用IP or disk.abc.com 存取SMB共用曹
2.使用內部Domain Name存取 內部網頁https://intra.abc.com)
3.或透過IP存取網頁
4.可加入AD網域,AD也可正常跟 192.168.0.1/24電腦傳送GPO。
總結: 有線網段沒問題
無線網路:
Client 筆記型電腦,無論有無加入AD,均可存取
1.使用IP 若使用disk.abc.com則**無法 **存取SMB共用曹
2.無法內部Domain Name存取 內部網頁https://intra.abc.com)
3.目前只能透過IP存取網頁
4.還沒測試AD 可否正常與筆電溝通
總結: 有限網段沒問題
使用NSLookup:
桌電:
>nslookup
預設伺服器: ad.abc.com
Address: 192.168.0.65
> intra.abc.com
伺服器: ad.abc.com
Address: 192.168.0.65
名稱: intra.abc.com
Address: 192.168.0.70
筆電:
1.已確認 筆電DNS設定指向 192.168.0.65
2.可正常上 Youtube(對外)
3.已確認 Hosts檔案 乾淨的,沒有其他設定
4.已Flush DNS、Release 、Renew
5.換過IP
6.透過有線網路 就能正常Nslookup intra.abc.com
(排除筆電故障)
7.使用Nslookup intra.abc.com
回覆:
沒有 internal type for both IPv4 and IPv6 Address (A+AAAA) records available for intra.abc.com
Forti 防火牆設定:
目前為了解決這個DNS兩個網段不通問題
已經開Any to Any
Service: Any
經過查找防火牆Log,都是Accept
type="traffic" subtype="forward" level="notice"
srcip=192.168.50.2 srcname="XX" srcport=6040 srcintf="lan3" srcintfrole="lan" dstip=192.168.0.65 dstport=53 dstintf="lan" dstintfrole="lan"
action="accept" policyid=13 policytype="policy" service="DNS"
Windows 防火牆:
目前為了解決這個DNS兩個網段不通問題
已關閉
防毒軟體:
為了避免防毒軟體因素
AD,Client Dekstop,Laptop僅使用Windows Defender,沒有裝任何防毒
DNS 設定:
經過上述排除跟採用最寬鬆的Policy去排除問題,無線網段還是無法回應內部IP。
不知道還有哪裡設定錯誤?
網路上看到大多的答案都是Routing有問題,但目前筆電都能正常透過Chorme 以IP 192.168.0.70方式存取到內部網站,由於DNS不回應故透過intra.abc.com無法存取。
已邀請的邦友 {{ invite_list.length }}/5
有試過做NAT嗎
有線跟無線DHCP 空缺IP數量比實際設備還多上非常多
大家都看大設定 忘了去看NAT有沒有開。
經過開啟NAT後,DNS可以正常解析了。
這個問題讓我整個假日都想破頭了
非常非常感謝
超級感謝你!
如果我看到內部網路做 NAT 我絕對會罵人.... 這不是正解
檢查看看 DNS 主機的防火牆或是 DNS policy 的設定吧
wifi ap 的wan ip 是192.168.50.1/24?
wifi ap 的lan ip 是192.168.0.0/24?
wifi ap 的wan port 的default gateway 是誰?IP請列一下
會有兩個IP,代表是NAT,而不是(無線網路)橋接(有線網路)
有兩個192.168.0.0/24,想必是互不相通才對呀!
防火牆的WIFI連接port變更為WIFI的VLAN並設定配發DHCP
接WIFI的使用者向防火牆WIFI VLAN的DHCP設定拿IP
防火牆設定讓WIFI VLAN通去.0.65找DNS和.0.70找網站
FortiGate複雜一點沒關係,但其他地方要簡易一點
這樣查問題大多時間只要看防火牆
iThome鐵人賽
看影片追技術