Domain-Name-System
如何為 ASA 5510 的 IPSEC VPN 連接禁用 dns 修正
*更新,事實證明,添加額外的 nat 排除阻止了 dns 篡改被觸發,從而解決了問題。
所以我有一個關於我們辦公室的 vpn 設置的最後一個懸而未決的問題。
我可以成功 vpn 並在外部介面上分配一個 ip 192.168.7.1。然後我可以 ssh 到 192.168.xx 範圍內的任何機器上,沒有任何問題。但是,當我向 192.168.1.1 上的內部 dns 伺服器向我們的一台 dmz 託管機器發出 dns 請求時,dns 回復被修改為給我 91.xxx 範圍內的公共 ip,而不是 10.1.16.34 ip。
10.1.0.x 192.168.xx dmz 91.xxx [內| 思科 asa 5510| 外部] | |分配 192.168.7.x | | [思科 vpn 客戶端]
以下是我們 IOS 配置中的相關行。
訪問列表 inside_nat0 擴展許可 ip 192.168.0.0 255.255.240.0 10.1.16.0 255.255.252.0 訪問列表 inside_nat0 擴展許可 ip 192.168.7.0 255.255.255.224 192.168.0.0 255.255.240.0 訪問列表 inside_nat0 擴展許可 ip 192.168.0.0 255.255.240.0 192.168.7.0 255.255.255.224 //添加到修復 訪問列表 outside_nat0 擴展許可 ip 192.168.7.0 255.255.255.224 10.1.16.0 255.255.252.0 訪問列表 outside_nat0 擴展許可 ip 10.1.16.0 255.255.252.0 192.168.7.0 255.255.255.224 nat(內部)0 訪問列表 inside_nat0 nat(內部)1 0.0.0.0 0.0.0.0 nat(外部)1 192.168.7.0 255.255.255.224 nat (dmz) 2 0.0.0.0 0.0.0.0 //添加到修復 nat (outside) 0 訪問列表 outside_nat0 nat (dmz) 0 訪問列表 outside_nat0 靜態(dmz,外部)91.xxx 10.1.16.34 網路遮罩 255.255.255.255 dns tcp 1000 100 udp 1000
! 類圖inspection_default 匹配預設檢查流量 ! ! 策略映射類型檢查 dns preset_dns_map 參數 消息長度最大 512 策略映射 global_policy 類檢查_預設 檢查 dns preset_dns_map 檢查 ftp 檢查 h323 h225 檢查 h323 ras 檢查rsh 檢查rtsp 檢查 esmtp 檢查 sqlnet 檢查瘦 檢查 sunrpc 檢查 xdmcp 檢查 sip 檢查 netbios 檢查 tftp 檢查icmp ! 服務策略 global_policy global
事實證明,只需添加額外的 nat 排除項,就可以禁用 dns 篡改。基本上來自 vpn ip 池中的外部介面的所有流量都需要辨識為 no-nat 才能正確地與 dmz 和內部介面通信。
好吧,客戶端在外部介面上——DNS 篡改的行為完全符合預期,真的。
您真的需要在該翻譯上啟用 DNS 篡改嗎?您是否從具有內部地址的內部伺服器提供公共 DNS,並且只是在出門時通過篡改擷取該地址?
如果沒有,那麼只需撕下
dns
你的static
線路,你就一切就緒。如果是這樣,請考慮設置僅服務於公共 DNS 的 DNS 伺服器。
如果您設置為保持啟用篡改,那麼我可以想到一種醜陋的解決方法:兩種策略靜態轉換 - 一種用於目標位於內部且禁用 DNS 篡改的情況,然後是啟用了篡改的較低優先級的轉換。就像我說的:醜陋。