USG6320 配置dns代理不生效

发布时间:  2016-12-01 浏览次数:  701 下载次数:  0
问题描述
总部和分支通过IPSEC VPN互通,分支需要加到总部的域控,分支的出口设备USG6320配置了DNS代理和静态DNS。在分支解析不到总部域控的地址,在分支PC去ping 设备上面配置的静态DNS的主机名的时候解析的是公网地址,终端的DNS是DHCP获取的USG6320的内网接口的地址。
处理过程
关键配置如下:

#

ip host test.com 192.168.100.100

#

dns resolve

dns transparent-proxy enable

dns server bind interface GigabitEthernet1/0/1 preferred 202.96.A.B alternate 202.96.B.A

dns server bind interface GigabitEthernet1/0/2 preferred 221.5.C.D alternate 210.21.D.C

#

dns proxy enable

#

1、查看终端PC的DNS缓存,由于太多没看出来,清空终端的DNS缓存之后重新ping 设备上面的静态DNS的主机名,还是解析出来的公网地址;

2、查看防火墙上面该终端的DNS会话信息如下:

display firewall session table verbose-hide both-direction source inside 192.168.Z.X protocol udp destination-port 53                                             esti16:07:34  2016/11/10

Current Total Sessions : 2

  DNS  VPN:public --> public  ID: a48f6acb3d158df7c58249b2c

  Zone: trust--> cnc1  TTL: 00:00:30  Left: 00:00:05     Input-interface: GigabitEthernet1/0/0

  Output-interface: GigabitEthernet1/0/2  NextHop: 221.4.132.254  MAC: 0c-a4-02-94-0d-42

  <--packets:0 bytes:0   -->packets:1 bytes:71

  192.168.Z.X:51915[221.4.X.Y:59904]+->172.16.10.1:53[221.5.88.88:53]

  DNS  VPN:public --> public  ID: a48f6acb3d158df7c58249b2c

  Zone: cnc1--> trust  TTL: 00:00:30  Left: 00:00:05 

  Output-interface: GigabitEthernet1/0/0  NextHop: 172.16.10.2  MAC: 58-35-d9-8b-a2-46

  <--packets:0 bytes:0   -->packets:1 bytes:173

  221.5.C.D:53[172.16.10.1:53]+->221.4.X.Y:59904[192.168.Z.X:51915]

经确认,配置了dns透明代理的情况下,dhs透明代理要优先于dns代理,配置dns透明代理排除域名之后测试终端可以正常解析出防火墙上面配置的主机名对应的IP地址;

配置域名test.com不做DNS透明代理。

<sysname> system-view

[sysname] dns transparent-proxy exclude domain test.com
根因

dns透明代理优先于DNS代理,导致终端的dns解析错误

解决方案
配置dns透明代理排除域名之后问题解决。

END