FortiGate IT セキュリティ ネットワーク

【FortiGate】DNSクライアントの設定と重要性について

投稿日:

FortiGate自身はDNSの問い合わせを受けるDNSサーバにも、
名前解決の問い合わせを行うDNSクライアントにもなることができますが、
今回はDNSクライアントとしての設定についてご紹介します。

FortiGateにとってDNSクライアント機能は重要

FortiGateにとって名前解決の問い合わせを行う、
DNSクライアント機能は非常に重要な役割を担っています。

主に下記の用途で名前解決の問い合わせを使用します。

FortiGuard・FortiGateCloudへの接続のため

各種シグネチャをダウンロードしたり、
Webフィルタの問い合わせに使用されるFortiGuardや、
機器を管理したり、ログを視覚的に閲覧できるFortiGateCloudがあります。
これらと接続するために、
FortiGateにはFQDNでこれらの宛先が登録されていますので、
接続する際に名前解決が必要となります。

FQDNの問い合わせ

FortiGateではFQDNのスタティックルートを設定することができます。
FortiGateでの処理としては、設定されたFQDNを名前解決し、
そのIPアドレスに対してのスタティックルートとしてルーティングテーブル上に登録します。
このタイミングで名前解決が必要となってきます。

ExplicitProxy

FortiGateではExplicitProxy(明示的プロキシ)を設定することも可能です。
プロキシの場合はFortiGate自身で名前解決できる必要があるため、
DNSの問い合わせが必須となってきます。

DNSクライアントのデフォルト設定

DNSクライアントの設定としては、問い合わせ先のDNSサーバを指定することになります。
デフォルトでDNSサーバの設定が投入されています。

プライマリ:208.91.112.53
セカンダリ:208.91.112.52

これらはFortiGuardのDNSサーバとなっており、
Fortinet社が提供しているDNSサーバになります。

DNSサーバはグローバルIPから調べるとアメリカのサンノゼに設置されているようです。
距離遅延はありますが、体感で感じるほど遅い印象はありませんので、
特段要件がなければデフォルトから変更する必要はないかと思います。

任意のDNSサーバの設定

もちろん任意のDNSサーバを指定することも可能です。
社内のポータルサイトのように社外公開していないWebサーバがある場合などに、
社内のDNSサーバを指定するユースケースがあるかと思います。

GUI

GUIでの設定方法をご紹介します。

操作

『ネットワーク』→『DNS』
『指定』を選択し、任意のDNSサーバを指定

先ほど記載した通り、デフォルトではFortiGuardのDNSサーバが指定されています。

DNSサーバの欄がグレーアウトされており変更できないようになっていますが、
任意のDNSサーバを指定する場合は『指定』を押下すると、
グレーアウトが解除されて設定できるようになりますので、
任意のDNSサーバを入力して、適用してください。

注目頂きたいのが右側のDNSサーバへのレイテンシ値です。
FortiOS6.2系より、DNSサーバへの接続のレイテンシが確認できるようになりました。
地味に便利です。

CLI

CLIでも設定可能です。

名前解決の確認方法

FortiGateにnslookupやdigコマンドはありません。
名前解決できるかを確認したい場合は、
『ping yahoo.co.jp』のようにpingの宛先にFQDNを指定することで、
名前解決したIPアドレスに対してpingを実施します。

名前解決に失敗した場合は、
『Uneble to resolve Hostname』と表示されます。

名前解決は成功しても、pingが届かない場合があります。
多くの場合は宛先のサーバ側でpingを拒否していることが理由かと思います。

PPPoE・DHCP使用時には注意が必要

WANインタフェースでPPPoEやDHCPを使用している場合には注意が必要です。
PPPoEやDHCPでIPアドレスと一緒にDNSサーバも払い出されるかと思いますが、
デフォルトの状態では設定したDNSサーバが上書きされてしまいます。

上書きされたくない場合は、
『内部DNSを上書き』を無効にすることで、
自身で設定したDNSサーバに問い合わせを行います。

最後に

通常のルータやネットワーク機器単体でDNSはあまり意識しないかと思います。
FortiGateでは名前解決できることが重要な機能を担っていますので、
トラブルの際は名前解決できるかを疑ってみるのもポイントかと思います。

-FortiGate, IT, セキュリティ, ネットワーク

Copyright© 社内ニート@ネットワークブログ , 2020 All Rights Reserved Powered by STINGER.