如何為 ASA 5510 的 IPSEC VPN 連接禁用 dns 修正

*更新，事實證明，添加額外的 nat 排除阻止了 dns 篡改被觸發，從而解決了問題。

所以我有一個關於我們辦公室的 vpn 設置的最後一個懸而未決的問題。

我可以成功 vpn 並在外部介面上分配一個 ip 192.168.7.1。然後我可以 ssh 到 192.168.xx 範圍內的任何機器上，沒有任何問題。但是，當我向 192.168.1.1 上的內部 dns 伺服器向我們的一台 dmz 託管機器發出 dns 請求時，dns 回復被修改為給我 91.xxx 範圍內的公共 ip，而不是 10.1.16.34 ip。

10.1.0.x
192.168.xx dmz 91.xxx
[內| 思科 asa 5510| 外部]
|
|分配 192.168.7.x
| 
|
[思科 vpn 客戶端]

以下是我們 IOS 配置中的相關行。

訪問列表 inside_nat0 擴展許可 ip 192.168.0.0 255.255.240.0 10.1.16.0 255.255.252.0
訪問列表 inside_nat0 擴展許可 ip 192.168.7.0 255.255.255.224 192.168.0.0 255.255.240.0
訪問列表 inside_nat0 擴展許可 ip 192.168.0.0 255.255.240.0 192.168.7.0 255.255.255.224

//添加到修復
訪問列表 outside_nat0 擴展許可 ip 192.168.7.0 255.255.255.224 10.1.16.0 255.255.252.0
訪問列表 outside_nat0 擴展許可 ip 10.1.16.0 255.255.252.0 192.168.7.0 255.255.255.224



nat（內部）0 訪問列表 inside_nat0
nat（內部）1 0.0.0.0 0.0.0.0
nat（外部）1 192.168.7.0 255.255.255.224
nat (dmz) 2 0.0.0.0 0.0.0.0
//添加到修復
nat (outside) 0 訪問列表 outside_nat0
nat (dmz) 0 訪問列表 outside_nat0

靜態（dmz，外部）91.xxx 10.1.16.34 網路遮罩 255.255.255.255 dns tcp 1000 100 udp 1000

!
類圖inspection_default
匹配預設檢查流量
!
!
策略映射類型檢查 dns preset_dns_map
參數
消息長度最大 512
策略映射 global_policy
類檢查_預設
檢查 dns preset_dns_map
檢查 ftp
檢查 h323 h225
檢查 h323 ras
檢查rsh
檢查rtsp
檢查 esmtp
檢查 sqlnet
檢查瘦 
檢查 sunrpc
檢查 xdmcp
檢查 sip 
檢查 netbios
檢查 tftp
檢查icmp
!
服務策略 global_policy global

事實證明，只需添加額外的 nat 排除項，就可以禁用 dns 篡改。基本上來自 vpn ip 池中的外部介面的所有流量都需要辨識為 no-nat 才能正確地與 dmz 和內部介面通信。

好吧，客戶端在外部介面上——DNS 篡改的行為完全符合預期，真的。

您真的需要在該翻譯上啟用 DNS 篡改嗎？您是否從具有內部地址的內部伺服器提供公共 DNS，並且只是在出門時通過篡改擷取該地址？

如果沒有，那麼只需撕下dns你的static線路，你就一切就緒。

如果是這樣，請考慮設置僅服務於公共 DNS 的 DNS 伺服器。

如果您設置為保持啟用篡改，那麼我可以想到一種醜陋的解決方法：兩種策略靜態轉換 - 一種用於目標位於內部且禁用 DNS 篡改的情況，然後是啟用了篡改的較低優先級的轉換。就像我說的：醜陋。

引用自：https://serverfault.com/questions/290681