避免 Fortigate Web 代理的腦裂 DNS

如何避免需要使用下面概述的設置進行腦裂 DNS 設置？

背景

我有什麼“應該”是使用 Fortigate 200D 的非常基本的設置。

1. 使用 DMZ 的“第三條腿”設置
2. 為內部使用者明確定義的 Web 代理
3. 預設網關可以設置為此設備。
4. 我們面向公眾的網站的外部 DNS。

每次我查找或詢問此設置時，我都會得到指向此文件的提示，這本質上意味著裂腦 DNS通過不同的 IP 地址訪問內部資源。我正在努力避免回到那條路*。*

我收到以下響應，這讓我認為流量路由不正確。

403 Forbidden: incorrect proxy service was requested

到目前為止，日誌還沒有顯示任何洞察力。我還嘗試了數據包擷取（在共享 Web 伺服器和 Fortigate 上）。它們都表明數據包在 Fortigate 內正在消亡。

如果您想避免腦裂 DNS，則外部使用者將轉到 www.timistheman.com 指向 VIP/NAT 關閉的外部 IP，內部使用者將轉到指向路由的內部 IP 的 www.mdmarra.local從 LAN 進入 DMZ。

如果您希望內部和外部使用者解析到相同的 FQDN，那麼要麼將 DNS 拆分到不同的 IP，要麼將內部使用者路由進出（棒上的路由器）。

引用自：https://serverfault.com/questions/626069