Resolver Problemas de DNSWatch en un Firebox

Cuando habilita DNSWatch en un Firebox, se producen dos acciones separadas. Las dos acciones son:

Registro del Firebox

Firebox se pone en contacto con los servidores de DNSWatch y se registra a sí mismo en la cuenta de DNSWatch donde el Firebox se registró originalmente. Una vez que se registra el Firebox, recibe las direcciones IP de dos servidores DNS DNSWatch y un servidor Blackhole.

Reenvío de DNS

Firebox reenvía todas las consultas de DNS salientes a los servidores DNS de DNSWatch, a menos que tenga prioridad otro ajuste de DNS configurado en el Firebox. Para obtener información sobre la prioridad de los ajustes de DNS, consulte Prioridad de los Ajustes DNS de DNSWatch en un Firebox.

Para todas las interfaces con la Imposición de Uso de DNSWatch habilitada, el Firebox intercepta todas las solicitudes de DNS en el puerto 53 y las reenvía a un servidor DNS de DNSWatch, incluso si la solicitud de DNS estaba dirigida a otro servidor de DNS. Para obtener más información acerca de las opciones, consulte Habilitar DNSWatch en su Firebox.

Resolver Problemas de Registro y Errores de Estado

Para determinar el estado de registro de su Firebox, puede consultar la información en la página de configuración de DNSWatch en Fireware Web UI. La página de DNSWatch muestra el estado de registro del Firebox e indica si hay errores relacionados con el servicio de DNSWatch. También muestra las direcciones IP de los servidores DNS de DNSWatch.

Screen shot of the DNSWatch page in Fireware Web UI

Si el Firebox está registrado y no hay errores de DNSWatch, la página de DNSWatch en Fireware Web UI muestra:

Fecha de Registro: Registrado el <fecha y hora>

Estado: Operativo

Si el registro falla o si cualquier otro error afecta el servicio de DNSWatch, la línea de Estado incluye un mensaje de error que puede ser útil para resolver problemas. También aparece un error para el Firebox en la página de Fireboxes Protegidos en su cuenta de DNSWatch.

Después de que el Firebox se haya registrado en su cuenta de DNSWatch, el Firebox envía una solicitud a https://dnswatch.watchguard.com/whatismyip/ para determinar la dirección IP pública para la interfaz externa del Firebox. El Firebox envía esta dirección IP a DNSWatch. La dirección IP pública para cada interfaz externa del Firebox aparece en la página de Fireboxes Protegidos en su cuenta de DNSWatch. Si DNSWatch no puede actualizar la información de la interfaz, aparece una cruz roja en la columna Estado de Actualización. Para más información, consulte Ver los Fireboxes Protegidos por DNSWatch.

Si el Firebox está detrás de un dispositivo NAT, la dirección IP pública que el Firebox reporta a DNSWatch no es la misma que la dirección IP de la interfaz externa en el propio Firebox.

La dirección IP externa se utiliza para asociar las solicitudes de DNS de los clientes en su red a su cuenta de DNSWatch. DNSWatch también usa la interfaz pública externa para determinar qué servidores DNS regionales se asignarán al Firebox, según la región.

Después de que el Firebox se haya registrado y DNSWatch haya recibido la dirección IP pública, el Firebox recibe las direcciones IP para los Servidores DNSWatch y el Servidor Blackhole. Estas direcciones aparecen en la página de DNSWatch en Fireware Web UI.

Si ocurre algún error en cualquiera de estos pasos, puede usar los mensajes de error descritos en la siguiente sección para resolver el problema.

Mensajes de Error de DNSWatch y Mensajes de Registro

Si la función de DNSWatch en su Firebox no funciona como se esperaba, aparecen errores en la sección Estado de la página de DNSWatch en Fireware Web UI y en los mensajes de registro del Firebox. Para ver los mensajes de registro relacionados con DNSWatch, abra Traffic Monitor y filtre los registros de diagnóstico. Para encontrar los mensajes de registro del Firebox relacionados con DNSWatch, busque dnswatchd en el en archivo de registro.

Estos mensajes de registro contienen información para ayudarlo a resolver problemas con DNSWatch.

Este mensaje indica que el Firebox no pudo registrarse con el servicio DNSWatch. El mensaje incluye el dominio dnswatch (dnswatch.watchguard.com).

El mensaje también incluye la causa específica de la falla. Por ejemplo:

error al registrarse con el servicio DNSWatch en dnswatch.watchguard.com": no tenemos un registro para esta licencia

Este mensaje de registro indica un problema con la licencia de DNSWatch para el Firebox en su WatchGuard Portal Account. Si ve este mensaje de registro, comuníquese con Atención al Cliente de WatchGuard con el número de serie de su Firebox y la ID de la cuenta del portal para que puedan resolver el problema de licencia en su cuenta.

Este error indica que el Firebox no pudo recuperar la dirección IP pública para enviarla a DNSWatch. El mensaje de error contiene otra información para ayudarlo a resolver el problema.

Para resolver este error, observe el error específico en el mensaje para obtener información sobre cómo resolver el problema.

Este mensaje indica que el Firebox no pudo obtener las direcciones del servidor DNS del servicio DNSWatch. El Firebox intenta obtener las direcciones IP de los servidores DNS de DNSWatch después de registrar el Firebox, por lo que este mensaje de error indica que el Firebox se registró correctamente con el servicio DNSWatch.

El mensaje también incluye la causa específica de la falla. Por ejemplo:

error al obtener las direcciones del servidor DNS: cidr '203.0.113.10/32' se superpone con otro que ya está en uso por otro cliente: reintento en 60 segundos

El error en este ejemplo indica que el Firebox se registró correctamente, pero el Firebox no pudo obtener una dirección de servidor DNS porque la dirección IP pública del Firebox ya está asociada con un Firebox registrado en una cuenta de DNSWatch diferente.

La misma dirección IP pública no puede asociarse con Fireboxes activados para dos cuentas diferentes en el WatchGuard Portal.

Si habilita DNSWatch en Fireboxes activados en dos WatchGuard Portal Account diferentes y esos Fireboxes usan la misma dirección IP pública, DNSWatch asocia la dirección IP pública con el primer Firebox que se registró con éxito con DNSWatch. Cualquier otro Firebox con la misma dirección IP pública que está registrada en una cuenta de DNSWatch diferente recibe este error y no recibe la dirección IP de los servidores DNS de DNSWatch. Para resolver este error, asegúrese de que no haya otros Fireboxes que usen la misma dirección IP pública en una cuenta diferente en el WatchGuard Portal.

Este error indica que DNSWatch está habilitado, pero la llave de licencia del Firebox no incluye a DNSWatch. Este error aparece solo en los mensajes de registro. Este error podría ocurrir si habilita DNSWatch y luego actualiza la llave de licencia con una llave que no habilita la función de DNSWatch. Para resolver este error, asegúrese de que el Firebox tenga la llave de licencia más reciente, y que ésta incluya a DNSWatch.

La función de DNSWatch en la llave de licencia ha expirado. Para resolver este error, renueve la suscripción de Total Security Service o la suscripción de prueba de DNSWatch, y actualice la llave de licencia en el Firebox.

El proceso DNSWatch no pudo localizar la llave de licencia en el Firebox. El error contiene más detalles sobre la causa específica de la falla. Para resolver este error, asegúrese de que el Firebox tenga la llave de licencia más reciente.

El Firebox genera este mensaje de registro si DNSWatch expira y el Firebox no tiene un servidor DNS en su configuración. Para asegurarse de que su Firebox no continúe usando los servidores DNSWatch, debe especificar un servidor DNS en los ajustes de la red DNS/WINS.

Resolver Problemas de Protección de DNSWatch en un Cliente

Para probar su protección, use test.strongarm.io. Si está protegido, aparece la página educativa sobre phishing. Si no está protegido, aparece una página con información sobre el problema.

Para resolver problemas de protección DNSWatch de un cliente en una red protegida, debe saber:

  • La dirección IP de la interfaz interna (de confianza, opcional o personalizada) de su Firebox
  • La dirección IP de un servidor DNS disponible públicamente. Por ejemplo, 8.8.8.8.
  • El dominio de prueba de DNSWatch: test.strongarm.io
  • Un dominio seguro: (por ejemplo) www.google.com
  • La URL de un servicio de suscripción de Firebox excluido de DNSWatch: rp.cloud.threatseeker.com
  • El dominio del Servidor Blackhole de DNSWatch: blackhole.dnswatch.watchguard.com

Para verificar que su red esté protegida por DNSWatch y que la resolución de DNS funcione correctamente, complete estas pruebas desde una computadora protegida por su Firebox:

  1. Desde una computadora protegida por su Firebox, abra una ventana del símbolo del sistema.
  2. Ejecute este comando:
    nslookup test.strongarm.io <INTERFAZ DE CONFIANZA DEL FIREBOX>
  3. Observe los resultados. Si Firebox usó el servidor DNS de DNSWatch para resolver el dominio, el resultado se ve así:
$ nslookup test.strongarm.io 10.0.1.1
Servidor: 10.0.1.1
Dirección: #53
Non-authoritative answer:test.strongarm.io canonical name = blackhole.dnswatch.watchguard.com.
Nombre: blackhole.dnswatch.watchguard.com
Dirección: 54.173.101.99

Si el resultado no incluye la dirección IP del Servidor Blackhole de DNSWatch, el Firebox no reenvió la solicitud de DNS a DNSWatch. No continúe con la resolución de problemas hasta que confirme que su Firebox reenvía el tráfico a DNSWatch.

  1. Desde una computadora protegida por su Firebox, abra una ventana del símbolo del sistema.
  2. Ejecute este comando:
    nslookup test.strongarm.io 8.8.8.8
  3. Observe los resultados. Si Firebox usó el servidor DNS de DNSWatch para resolver el dominio, el resultado se ve así:
$ nslookup test.strongarm.io 8.8.8.8
Servidor: 8.8.8.8
Dirección: 8.8.8.8#53
Respuesta no autorizada:
test.strongarm.io canonical name = blackhole.dnswatch.watchguard.com.
Nombre: blackhole.dnswatch.watchguard.com
Dirección: 54.173.101.99

Si la Prueba 1 funcionó, pero no recibe la dirección IP del Servidor Blackhole de DNSWatch con esta prueba, la Imposición de Uso no está habilitada en esta red. Si desea imponer el uso de DNSWatch en su red, debe habilitar DNSWatch para esta interfaz antes de continuar. Para más información, consulte Habilitar DNSWatch en su Firebox.

  1. Desde una computadora protegida por su Firebox, abra una ventana del símbolo del sistema.
  2. Ejecute el nslookup para un dominio legítimo. Por ejemplo:
    nslookup www.salesforce.com
  3. Observe los resultados, que se ven así:
$ nslookup www.salesforce.com
Servidor: 10.0.0.1
Dirección: 10.0.0.1#53
Respuesta no autorizada:
Nombre canónico de www.salesforce.com = www.gslb.salesforce.com.
Nombre: www.gslb.salesforce.com
Dirección: 96.43.144.26
Nombre: www.gslb.salesforce.com
Dirección: 96.43.145.26
  1. Compare este resultado con la misma prueba en un sistema no protegido por su Firebox. Si los resultados coinciden, DNSWatch resolvió correctamente las solicitudes de DNS.
  1. Desde una computadora protegida por su Firebox, abra una ventana del símbolo del sistema.
  2. Ejecute el comando nslookup para uno de los dominios de WatchGuard que está excluido de DNSWatch.
    nslookup rp.cloud.threatseeker.com
  3. Observe los resultados, que se ven así:
$ nslookup rp.cloud.threatseeker.com 10.0.0.1
Servidor: 10.0.0.1
Dirección: 10.0.0.1#53
Respuesta no autorizada:
Nombre: rp.cloud.threatseeker.com
Dirección: 208.87.234.140
  1. Compare este resultado con la misma prueba en un sistema no protegido por su Firebox. Si los resultados coinciden, DNSWatch resolvió correctamente la solicitud de DNS.

Si todas estas pruebas producen los resultados esperados, su red está protegida por DNSWatch.

De forma predeterminada, el dominio test.strongarm.io está en la lista de bloqueados de su cuenta de DNSWatch. Puede navegar a test.strongarm.io para ver el deny message que los clientes verán en su red cuando DNSWatch deniegue una solicitud de DNS.

Para obtener información sobre cómo personalizar la página de denegación, consulte Personalizar las Páginas de Bloqueo de DNSWatch.