Temas Relacionados
Solucionar Problemas de DNSWatch
Estos consejos pueden ayudarlo a resolver problemas con el registro de DNSWatch y ayudarlo a verificar que sus redes estén protegidas.
Cuando habilita DNSWatch en un Firebox, se producen dos acciones separadas. Las dos acciones son:
Registro del Firebox
Firebox se pone en contacto con los servidores de DNSWatch y se registra a sí mismo en la cuenta de DNSWatch donde el Firebox se registró originalmente. Una vez que se registra el Firebox, recibe las direcciones IP de dos servidores DNS DNSWatch y un servidor Blackhole.
Reenvío de DNS
Firebox reenvía todas las consultas de DNS salientes a los servidores DNS de DNSWatch, a menos que tenga prioridad otro ajuste de DNS configurado en el Firebox. Para obtener información sobre la prioridad de los ajustes de DNS, consulte Prioridad de los Ajustes DNS de DNSWatch.
Para todas las interfaces con la Imposición de Uso de DNSWatch habilitada, el Firebox intercepta todas las solicitudes de DNS en el puerto 53 y las reenvía a un servidor DNS de DNSWatch, incluso si la solicitud de DNS estaba dirigida a otro servidor de DNS. Para obtener más información acerca de las opciones, consulte Habilitar DNSWatch en su Firebox.
Solucionar Problemas de Registro y Errores de Estado
Si el Firebox está registrado y no hay errores de DNSWatch, la página de DNSWatch en la Fireware Web UI muestra:
Fecha de Registro: Registrado en <fecha y tiempo>
Estado: Operativo
Si el registro falla o si cualquier otro error afecta el servicio de DNSWatch, la línea de Estado incluye un mensaje de error que puede ser útil para solucionar problemas. También aparece un error para el Firebox en la página de Fireboxes Protegidos en su cuenta de DNSWatch.
Después de que el Firebox se haya registrado en su cuenta de DNSWatch, el Firebox envía una solicitud a https://dnswatch.watchguard.com/whatismyip/ para determinar la dirección IP pública para la interfaz externa del Firebox. El Firebox envía esta dirección IP a DNSWatch. La dirección IP pública para cada interfaz externa del Firebox aparece en la página de Fireboxes Protegidos en su cuenta de DNSWatch. Si DNSWatch no puede actualizar la información de la interfaz, aparece una cruz roja en la columna Estado de Actualización. Para obtener más información, consulte Ver los Firebox Protegidos por DNSWatch.
Si el Firebox está detrás de un dispositivo NAT, la dirección IP pública que el Firebox reporta a DNSWatch no es la misma que la dirección IP de la interfaz externa en el propio Firebox.
La dirección IP externa se utiliza para asociar las solicitudes de DNS de los clientes en su red a su cuenta de DNSWatch. DNSWatch también usa la interfaz pública externa para determinar qué servidores DNS regionales se asignarán al Firebox, según la región.
Después de que el Firebox se haya registrado y DNSWatch haya recibido la dirección IP pública, el Firebox recibe las direcciones IP para los Servidores DNSWatch y el Servidor Blackhole. Estas direcciones aparecen en la página de DNSWatch en la Fireware Web UI.
Si ocurre algún error en cualquiera de estos pasos, puede usar los mensajes de error descritos en la siguiente sección para solucionar el problema.
Mensajes de Error de DNSWatch y Mensajes de Registro
Si la función de DNSWatch en su Firebox no funciona como se esperaba, aparecen errores en la sección Estado de la página de DNSWatch en la Fireware Web UI y en los mensajes de registro del Firebox. Para ver los mensajes de registro relacionados con DNSWatch, abra Traffic Monitor y filtre los registros de diagnóstico. Para encontrar los mensajes de registro del Firebox relacionados con DNSWatch, busque dnswatchd en el en archivo de registro.
Estos mensajes de registro contienen información para ayudarlo a solucionar problemas con DNSWatch.
Este mensaje indica que el Firebox no pudo registrarse con el servicio DNSWatch. El mensaje incluye el dominio dnswatch (dnswatch.watchguard.com).
El mensaje también incluye la causa específica de la falla. Por ejemplo:
error al registrarse con el servicio DNSWatch en dnswatch.watchguard.com": no tenemos un registro para esta licencia
Este mensaje de registro indica un problema con la licencia de DNSWatch para el Firebox en su WatchGuard Portal Account. Si ve este mensaje de registro, comuníquese con Atención al Cliente de WatchGuard con el número de serie de su Firebox y la ID de la cuenta del portal para que puedan resolver el problema de licencia en su cuenta.
Este error indica que el Firebox no pudo recuperar la dirección IP pública para enviarla a DNSWatch. El mensaje de error contiene otra información para ayudarlo a solucionar el problema.
Para resolver este error, observe el error específico en el mensaje para obtener información sobre cómo solucionar el problema.
Este mensaje indica que el Firebox no pudo obtener las direcciones del servidor DNS del servicio DNSWatch. El Firebox intenta obtener las direcciones IP de los servidores DNS de DNSWatch después de registrar el Firebox, por lo que este mensaje de error indica que el Firebox se registró correctamente con el servicio DNSWatch.
El mensaje también incluye la causa específica de la falla. Por ejemplo:
error al obtener las direcciones del servidor DNS: cidr '203.0.113.10/32' se superpone con otro que ya está en uso por otro cliente: reintento en 60 segundos
El error en este ejemplo indica que el Firebox se registró correctamente, pero el Firebox no pudo obtener una dirección de servidor DNS porque la dirección IP pública del Firebox ya está asociada con un Firebox registrado en una cuenta de DNSWatch diferente.
La misma dirección IP pública no puede asociarse con Fireboxes activados para dos cuentas diferentes en el Portal WatchGuard.
Si habilita DNSWatch en Fireboxes activados en dos WatchGuard Portal Account diferentes y esos Fireboxes usan la misma dirección IP pública, DNSWatch asocia la dirección IP pública con el primer Firebox que se registró con éxito con DNSWatch. Cualquier otro Firebox con la misma dirección IP pública que está registrada en una cuenta de DNSWatch diferente recibe este error y no recibe la dirección IP de los servidores DNS de DNSWatch. Para resolver este error, asegúrese de que no haya otros Fireboxes que usen la misma dirección IP pública en una cuenta diferente en el Portal WatchGuard.
Este error indica que DNSWatch está habilitado, pero la llave de licencias del Firebox no incluye a DNSWatch. Este error aparece solo en los mensajes de registro. Este error podría ocurrir si habilita DNSWatch y luego actualiza la llave de licencias con una llave que no habilita la función de DNSWatch. Para resolver este error, asegúrese de que el Firebox tenga la llave de licencias más reciente, y que ésta incluya a DNSWatch.
La función de DNSWatch en la llave de licencias ha expirado. Para resolver este error, renueve la suscripción de Total Security Service o la suscripción de prueba de DNSWatch, y actualice la llave de licencias en el Firebox.
El proceso DNSWatch no pudo localizar la llave de licencias en el Firebox. El error contiene más detalles sobre la causa específica de la falla. Para resolver este error, asegúrese de que el Firebox tenga la llave de licencias más reciente.
El Firebox genera este mensaje de registro si DNSWatch expira y el Firebox no tiene un servidor DNS en su configuración. Para asegurarse de que su Firebox no continúe usando los servidores DNSWatch, debe especificar un servidor DNS en los ajustes de la red DNS/WINS.
Solucionar Problemas de Protección de DNSWatch
El FQDN para el Servidor Blackhole de DNSWatch es strongarm.test. DNSWatch es el único resolvedor en internet que resolverá este nombre de dominio. Puede usar este dominio para probar si su red está protegida por DNSWatch.
Para solucionar problemas de protección DNSWatch de un cliente en una red protegida, debe saber:
- La dirección IP de la interfaz interna (de confianza, opcional o personalizada) de su Firebox
- La dirección IP de un servidor DNS disponible públicamente. Por ejemplo, 8.8.8.8.
- El FQDN de la prueba DNSWatch: strongarm.test
- Un FQDN seguro: (por ejemplo) www.google.com
- La URL de un servicio de suscripción de Firebox excluido de DNSWatch: rp.cloud.threatseeker.com
- El FQDN del Servidor Blackhole de DNSWatch: blackhole.dnswatch.watchguard.com
Para verificar que su red esté protegida por DNSWatch y que la resolución de DNS funcione correctamente, complete estas pruebas desde una computadora protegida por su Firebox:
- Desde una computadora protegida por su Firebox, abra una ventana del símbolo del sistema.
- Ejecute este comando:
nslookup strongarm.test <FIREBOX TRUSTED INTERFACE> - Observe los resultados. Si Firebox usó el servidor DNS de DNSWatch para resolver el dominio, el resultado se ve así:
$ nslookup strongarm.test 10.0.1.1 Servidor: 10.0.1.1 Dirección: #53 Respuesta no autorizada: Nombre canónico de strongarm.test = blackhole.dnswatch.watchguard.com. Nombre: blackhole.dnswatch.watchguard.com Dirección: 54.173.101.99
Si el resultado no incluye la dirección IP del Servidor Blackhole de DNSWatch, el Firebox no reenvió la solicitud de DNS a DNSWatch. No continúe con la resolución de problemas hasta que confirme que su Firebox reenvía el tráfico a DNSWatch.
- Desde una computadora protegida por su Firebox, abra una ventana del símbolo del sistema.
- Ejecute este comando:
nslookup strongarm.test 8.8.8.8 - Observe los resultados. Si Firebox usó el servidor DNS de DNSWatch para resolver el dominio, el resultado se ve así:
$ nslookup strongarm.test 8.8.8.8
Servidor: 8.8.8.8
Dirección: 8.8.8.8#53
Respuesta no autorizada:
Nombre canónico de strongarm.test = blackhole.dnswatch.watchguard.com.
Nombre: blackhole.dnswatch.watchguard.com
Dirección: 54.173.101.99
Si la Prueba 1 funcionó, pero no recibe la dirección IP del Servidor Blackhole de DNSWatch con esta prueba, la Imposición de Uso no está habilitada en esta red. Si desea imponer el uso de DNSWatch en su red, debe habilitar DNSWatch para esta interfaz antes de continuar. Para obtener más información, consulte Habilitar DNSWatch en su Firebox.
- Desde una computadora protegida por su Firebox, abra una ventana del símbolo del sistema.
- Ejecute el nslookup para un dominio legítimo. Por ejemplo:
nslookup www.salesforce.com - Observe los resultados, que se ven así:
$ nslookup www.salesforce.com
Servidor: 10.0.0.1
Dirección: 10.0.0.1#53
Respuesta no autorizada:
nombre canónico de www.salesforce.com = www.gslb.salesforce.com.
Nombre: www.gslb.salesforce.com
Dirección: 96.43.144.26
Nombre: www.gslb.salesforce.com
Dirección: 96.43.145.26
- Compare este resultado con la misma prueba en un sistema no protegido por su Firebox. Si los resultados coinciden, DNSWatch resolvió correctamente las solicitudes de DNS.
- Desde una computadora protegida por su Firebox, abra una ventana del símbolo del sistema.
- Ejecute el comando nslookup para uno de los dominios de WatchGuard que está excluido de DNSWatch.
nslookup rp.cloud.threatseeker.com - Observe los resultados, que se ven así:
$ nslookup rp.cloud.threatseeker.com 10.0.0.1
Servidor: 10.0.0.1
Dirección: 10.0.0.1#53
Respuesta no autorizada:
Nombre: rp.cloud.threatseeker.com
Dirección: 208.87.234.140
- Compare este resultado con la misma prueba en un sistema no protegido por su Firebox. Si los resultados coinciden, DNSWatch resolvió correctamente la solicitud de DNS.
Si todas estas pruebas producen los resultados esperados, su red está protegida por DNSWatch.
De forma predeterminada, strongarm.test está en la Lista Negra de su cuenta DNSWatch. Puede navegar a strongarm.test para ver el deny message que los clientes verán en su red cuando DNSWatch rechace una solicitud de DNS.
Para obtener información sobre cómo personalizar la página de denegación, consulte Personalizar la Página de Negación de DNSWatch.
Monitorear el Estado del Servicio DNSWatch
El estado de DNSWatch y todos los servicios relacionados, están disponibles en la página de estado de DNSWatch. La página de estado de DNSWatch muestra el estado actual de DNSWatch, las estadísticas de tiempo de actividad y un historial de cualquier incidente relacionado con el servicio de DNSWatch.
Para ver el estado del servicio DNSWatch:
- Inicie sesión en su cuenta de DNSWatch.
- En la parte inferior de cualquier página, haga clic en Estado.
Aparece la página del estado de DNSWatch. - Para recibir una notificación por correo electrónico cuando el equipo de DNSWatch agregue o actualice un incidente, haga clic en Suscribirse a Actualizaciones.
También puede navegar directamente a la página de estado de DNSWatch en http://status.dnswatch.watchguard.com/.
Ver también
Habilitar DNSWatch en su Firebox