Hoy os voy a contar cómo montar un sistema de alta disponibilidad de DNS sobre un dominio Windows con un router Fortigate.
El objetivo principal es que hagamos todas las peticiones DNS al router Fortigate y este las redirija hacia los servidores DNS Windows del dominio local y, en última instancia, realice las peticiones a un DNS público de Internet, de tal forma que si se caen todos los servidores DNS locales, siga existiendo conexión a Internet.
Procedemos con la configuración
Lo primero que hemos de hacer es configurar los servidores DNS del Fortigate, que serán los que se usarán en última instancia. Yo he usado los de Google, pero podéis usar los de vuestro ISP o cualquier otro.
A continuación vamos a configurar el Fortigate como servidor DNS. A este servidor será al que le enviaremos las peticiones si no nos contesta ninguno de los de dominio, para al menos tener salida a internet.
Ya tenemos configurado el Fortigate como servidor DNS y para probar que funciona, abrimos una ventana de dos y ejecutamos NSLOOKUP. Conectamos a la IP LAN del Fortigate y realizamos alguna petición DNS. Si nos contesta es que esta operativo.
Es el momento de configurar el Load Balance Virtual Server. Primero, crearemos un Health Check, en este caso basado en PING
A continuación, creamos un Virtual Server, como es para DNS, será de tipo UDP y en el puerto 53. También hemos de asignarle una dirección IP no usada, que será la que utilice para recibir los paquetes DNS. En este caso, yo he elegido el balanceo de carga por peso, para definir manualmente el orden de búsqueda de los DNS. Por último, he asignado el ‘Health Check’ (que ya había definido anteriormente).
Es el momento de definir los servidores DNS que van a integrar el grupo de FailOver. Simplemente vamos añadiendo las direcciones IP y el puerto 53 (DNS) de cada uno de los servidores. También les añadimos el peso, teniendo en cuenta que a mayor peso, mayor prioridad. Como la distribución es por peso, hay que marcar todos los servidores como activos.
Importante recordar que hay que añadir la IP LAN del propio Fortigate con el menor peso, ya que será el servidor DNS de último recurso de la red y solo proporcionará acceso a Internet.
Por último, hay que añadir una política que permita a los equipos en la red LAN utilizar este ‘Virtual Server’ para el servicio DNS.
Ahora ponemos como DNS principal en nuestros equipos clientes la IP del ‘Virtual Server’, en mi caso la 192.168.0.3. Estos equipos pasarán a usar una granja de servidores DNS en lugar de un único servidor, con lo que serán más resilientes a caídas de servicio, incluso aunque toda la infraestructura caiga, si el Fortigate tiene conexión a Internet, estos equipos también la tendrán.
La entrada Alta disponibilidad y FailOver DNS con Fortigate y Active Directory aparece primero en No me toques el router.