いくつかASA 5505導入しています。現在、ローカル ASA が DHCP クエリに応答し、DR サイトの DNS サーバー (AD を使用) とパブリック DNS の 2 つの DNS サーバーを使用してクライアントを構成するセットアップがあります。
VPN トンネルがダウンしているときにクライアントに「インターネット」へのアクセスを提供する必要があります (これはパケット ルーティングだけでなく DNS 応答も意味します)。そのため、こちら側から DHCP を提供することはできません。上記の構成により、vpnclient server [Production site VPN target] [DR site VPN target]問題なく使用できます。
これは、DHCP が割り当てた DNS を調整してトンネルを手動でフェイルオーバーした以前の構成からの回避策です。非常に手間がかかり、時間がかかります。
Fortigate には、VIP を作成し、DNS サーバーへの接続を確認するためのチェックをいくつか実行する負荷分散サービスがありました。
ロード バランシングのような創造的なソリューション以外に、フィールド ASA によって DHCP が割り当てられたクライアントが特定のサーバーに DNS ルックアップを送信するように構成するにはどうすればよいでしょうか。
[サイドノート]
各サイトで、同じ VIP (VPN クライアントからのみアクセス可能) 経由で DNS を提供するロード バランサーを使用することを考えました。ただし、これはクライアント側の問題に対する複雑なサーバー側ソリューションです。
答え1
あなたの状況では、ASA を DNS サーバーとして内部 IP を配布する DHCP として使用し、トンネル DNS への DNS プロキシを使用し、構成にいくつかのパブリック DNS をリストします。
例: (これらのコマンドは c3900 機器 ios15.1 で動作しますが、ASA ソフトウェアとの互換性を保つために変更を加える必要がある場合があります)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
これは小規模なオフィスに適しています。私は 100 人以下のユーザーで使用していますが、RAM があれば拡張できます。
トンネルで IP SLA を実行して、トンネルがダウンしているかどうかを確認し、デフォルト ルートを使用してトンネルを指すようにすると、切り替えが高速化され、信頼性が高まります。ローカルの外部インターフェイスを指すように静的ルートが定義されていることを確認してください。そうしないと、トンネルがダウンしたときに ASA がデフォルト ルートを削除し、動作が停止する可能性があります。