Как мне избежать необходимости в настройке DNS с разделенным мозгом при настройке, описанной ниже?
Задний план
У меня есть то, что "должно" быть довольно простой установкой с использованием Fortigate 200D.
Каждый раз, когда я ищу или спрашиваю об этой установке, я обращаю внимание на этот документация, которая по своей сути подразумевает разделенный мозг DNS через разные IP-адреса для доступа из внутренних ресурсов. я стараюсь действительно трудно избежать возврата по этому маршруту.
Я получаю следующий ответ, который заставляет меня думать, что трафик маршрутизируется неправильно.
403 Forbidden: incorrect proxy service was requested
Журналы пока не показали никакой информации. Я также пробовал захват пакетов (как на общем веб-сервере, так и на Fortigate). Оба они указывают на то, что пакеты умирают внутри Fortigate.
Если вы хотите избежать раздельного DNS, тогда внешние пользователи будут переходить на www.timistheman.com, указывая на внешний IP-адрес, который отключен VIP / NAT, а внутренние - на www.mdmarra.local, указывая на внутренний IP-адрес, который маршрутизируется в демилитаризованную зону из локальной сети.
Если вы хотите, чтобы внутренние и внешние пользователи разрешали одно и то же полное доменное имя, либо разделите DNS на разные IP-адреса, либо направьте внутренних пользователей туда и обратно (маршрутизатор на флешке).