Acceso a dns desde agencia sucursal

Imagen de fsigu

Forums: 

Amigos como esta, queria ver si me pueden ayudar con un problema que tengo.

Tengo una sucursal en otra ciudad la cual esta conectada con un canal de datos a la agencia matriz. El problema es que en los clientes de la sucursal no se puede hacer ping a los DNS que uso por ejemplo los de google 8.8.8.8.

En la matriz tengo un centos 6 configurado con squid y sendmail, esta funcionando bien, desde los clientes de las sucursales navegan sin problema con el proxy (aunque igual no hacen ping a los dns que uso), el tema se da en los equipos inalambricos de la sucursal, ellos no pueden acceder al whatsapp, por ejemplo por mas que tenga puesto el proxy, y como los jefes son los que mas usan esta aplicacion necesitan poder usarlo desde la red de la oficina.

Pienso que es por lo de los dns, ya que en el whatsapp al abrir la aplicacion solo se puede ver el estado conectando y nunca llega a completar la conexion, si apago el wifi y conecto desde la red celular funciona.

La configuracion que tengo algo asi
Servidor centos,
eth0 ip publica
eth1 10.0.19.3
dns 8.8.8.8
mi red de la oficina es 10.0.19.xxx

En la sucursal
el router de mi proveedor es 10.0.20.5
la red de alla es 10.0.20.xxx
gateway 10.0.17.5
DNS 8.8.8.8
proxy 10.0.19.3

Entonces mi consulta es la siguiente, los equipos de la sucursal con el proxy si deberian hacer ping a los dns?? porque segun los que me dan la conexion me dicen que no que el proxy es el que maneja eso.

En donde deberia configurar el acceso a los dns en el firewall, o en el squid??

Y como puedo saber que puertos esta intentando usar el equipo que quiere conectarse al whatsapp?

Espero puedan ayudarme ..

Unas cuantas preguntas ...

Imagen de deathUser

Unas cuantas preguntas ...

Tienes proxy de caché en el firewall ...???

Si la respuesta es afirmativa, pues entonces los clientes deberían apuntar al firewall como DNS y no a los firewalls externos ...

Si la respuesta es negativa, configura un dns de cache en el firewall y apunta los clientes al nuevo DNS ...

El firewall hace NAT ...???
Si la respuesta es afirmativa, los clientes deberían poder usar el firewall como default gateway y poder hacer ping a cualquier sitio que lo soporte ... Sin embargo la recomendación del cache DNS sigue siendo válida por performance ;)

Si la respuesta es NO, seguramente el servicio de WhatsApp no es proxyable, por lo que deberás habilitar NAT al menos hacia las redes del WhatsApp o a los puertos que este use...

Cuales puertos o redes ... NPI ... siempre puedes leer documentación oficial o usar un sniffer ...

Suerte ...

bye
;)

Gracias por responder,

Imagen de fsigu

Gracias por responder, respecto las interrogantes.

Si tengo dns cache uso dnsmasq. Ya configure en los clientes como dns la ip local de mi servidor y nada. igual no hago ping a www.google.com por ejm. pero si puedo navegar sin problema.

El firewall si hace nat, pero no puedo poner en las ip clientes de la sucursal el gateway la ip del firewall, ya que debo poner la ip del router que nos dio el proveedor de la conexión, así llega a la oficina principal.

Desde la sucursal deberian poder hacer ping de ley a www.google.com cierto, la verdad ya estoy confundido y no se por donde estoy haciendo mal.

En el firewall tengo estas reglas de pronto esta algo mal

$IPTABLES -t nat -A PREROUTING -i $INTERNALIF -p tcp --dport 80 -j REDIRECT --to-port 8080
$IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE

siendo la INTERNALIF la tarjeta de red conectada a la red local del servidor linux
y EXTERNALIF la tarjeta de red conectada a la ip publica

Saludos

Fernando

bueno, lo primero es ver si

Imagen de deathUser

bueno, lo primero es ver si resuelven nombres, si haces ping a por ejemplo www.google.com, este te responde host not found o intenta hacer ping a una dirección IP ...???

Por las líneas de iptables que adjuntas, parece que estas enmascarando el tráfico de tu red interna, pero me intriga este párrafo:

[quote=fsigu]El firewall si hace nat, pero no puedo poner en las ip clientes de la sucursal el gateway la ip del firewall, ya que debo poner la ip del router que nos dio el proveedor de la conexión, así llega a la oficina principal.[/quote]

No se como tengas la topología de tu red, pero si no tienes una conexión de internet en la sucursal y lo que quieres es que se use Internet a través de la conexión de datos a la matriz y estás haciendo NAT en el firewall y el firewall está navegando usando ese enlace de datos, pues lo más recomendable (por no decir lógico) es que los clientes usen como gateway el firewall, que si no, no hace las veces de firewall ni sirve de nada que haga NAT ...

A no ser que el proveedor se encargue de rutear la red privada de la sucursal para que pueda navegar por el gateway de la matriz, en cuyo caso deberías pedirles a ellos (el proveedor) que solucione tu problema ;)

bye
;)