VPN は DNS ルックアップを除いて動作しています。ファイアウォール (Cisco ASA 5505) の問題ですか?

1) クライアントは ASA と直接トンネルを確立していますか、それとも図の「VPN サーバー」とトンネルを確立していますか? 2) VPN クライアントには内部ネットワークと同じ IP 範囲が割り当てられていますか、それとも別の範囲が割り当てられていますか?

ログ エントリに基づくと、クライアントが ASA へのトンネルを確立し、内部ネットワークとは異なるサブネットが割り当てられているようです。この場合、内部 IP 範囲と VPN IP 範囲の間でトラフィックを NAT しないように ASA に指示する NAT 免除ルールが必要だと思います。これにより、送信元 (VPN サブネット) と宛先ネットワーク (内部サブネット) が保持されるため、ASA は、トラフィックが通過する 2 つのインターフェイスに基づいて、内部ネットワークへのアクセスにパブリック/プライベート NAT ルールが必要ないと判断します。GUI では、これは [構成] タブ >> [ファイアウォール] >> [NAT ルール] にありますが、GUI でこのようなルールを作成した経験はさまざまであるため、CLI を使用する必要があるかもしれません。

私の経験では、これは ASA の既定設定で動作するはずです。LAN DHCP サーバーの設定を上書きしている可能性のある ASA の DHCP 設定がないか確認してください。

探すべき行はdhcpd domain、、dhcpd dnsおよびですdhcpd auto_config。

私が使用しているセットアップは非常に堅牢ですが、ASA がローカル クライアントに対して DHCP を実行します。つまり、VPN がダウンしても、ユーザーは引き続きローカル システムにアクセスできます。

あなたが使用している特定のハードウェアについての経験はありません。ただし、openvpn では、DNS クエリが機能するためにネットワークをブリッジする必要があります。状況から判断すると、ブリッジされた VPN がすでにセットアップされているようです (つまり、クライアントの IP アドレスが宛先ネットワークの IP アドレスと同じ範囲にあります)。

このようにブリッジ ネットワークを設定すると、DNS サーバーは新しいブリッジ インターフェイスではなく、元のイーサネット インターフェイスにバインドされたままになる可能性があります。

その場合、パケットはルーターに正しく届きません。DNS サーバーをブリッジ インターフェイスにバインドするか、ブリッジ インターフェイスの IP アドレスにバインドして、VPN がアクティブかどうかに関係なく機能するようにします。

USB GSM モデムで動作する Cisco VPN クライアントでも同じ問題が発生します。この問題は、ASA Cisco ASA の次の文を使用して解決しました。

group-policy TestVPN attributes
  split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net 

ここで、「dominioprivado1.com dominioprivado1.org dominioprivado1.net」は、サーバーの名前のプライベートが含まれる DNS ゾーンです。