%3F.png)
Ich habe Folgendes eingerichtet:
LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN
Die Verbindung zum LAN über VPN funktioniert einwandfrei. Ich erhalte alle Details korrekt und kann jeden Host im internen Netzwerk über seine IP anpingen. Allerdings kann ich keinerlei Host-Lookups durchführen. Ich habe die Protokolle durchgesehen und dieses Nugget im Firewall-Protokoll gefunden:
3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371
Port 53 ist für DNS-Dienste, oder? Aufgrund dieses Protokolleintrags gehe ich davon aus, dass das Problem bei der Firewall und nicht beim Server liegt. Irgendwelche Ideen? Bitte bedenken Sie, dass ich sehr wenig Wissen und Erfahrung mit dieser Art von Firewall habe und dass die wenige Erfahrung, die ich habe, sich auf die ASDM-GUI-Konsole und nicht auf die CLI-Konsole bezieht.
Antwort1
1) Bauen Ihre Clients den Tunnel direkt mit der ASA oder mit dem „VPN-Server“ in Ihrem Diagramm auf? 2) Erhalten Ihre VPN-Clients denselben IP-Bereich wie Ihr internes Netzwerk oder einen separaten Bereich?
Basierend auf dem Protokolleintrag klingt es so, als würden Ihre Clients den Tunnel zur ASA aufbauen und dabei ein anderes Subnetz als das interne Netzwerk erhalten. Wenn dies der Fall ist, benötigen Sie meiner Meinung nach eine NAT-Ausnahmeregel auf Ihrer ASA, die ihr mitteilt, dass sie keinen NAT-Verkehr zwischen Ihrem internen IP-Bereich und Ihrem VPN-IP-Bereich versuchen soll. Dadurch bleiben Ihre Quell- (VPN-Subnetz) und Zielnetzwerke (internes Subnetz) erhalten, sodass die ASA nicht glaubt, dass sie eine öffentliche/private NAT-Regel für den Zugriff auf das interne Netzwerk benötigt, basierend auf den 2 Schnittstellen, über die sie den Verkehr durchgehen sieht. In der GUI befindet sich dies unter: Registerkarte „Konfiguration“>>Firewall>>NAT-Regeln, obwohl ich gemischte Erfahrungen mit der Erstellung solcher Regeln in der GUI gemacht habe – möglicherweise muss ich zur CLI wechseln.
Antwort2
Meiner Erfahrung nach sollte dies mit der Standardkonfiguration der ASA funktionieren. Überprüfen Sie, ob es auf der ASA DHCP-Einstellungen gibt, die möglicherweise Ihre Einstellungen von Ihrem LAN-DHCP-Server überschreiben.
Zu suchende Zeilen sind dhcpd domain, dhcpd dnsund dhcpd auto_config.
Das von mir verwendete Setup ist recht robust, aber die ASA übernimmt DHCP für die lokalen Clients. Dies bedeutet, dass die Benutzer bei einem VPN-Ausfall weiterhin auf die lokalen Systeme zugreifen können.
Antwort3
Ich habe keine Erfahrung mit der spezifischen Hardware, mit der Sie arbeiten. Bei OpenVPN müssen Sie jedoch eine Netzwerkbrücke haben, damit DNS-Abfragen funktionieren. So wie es aussieht, haben Sie bereits ein überbrücktes VPN eingerichtet (d. h. Ihre Client-IP-Adresse liegt im selben Bereich wie die des Zielnetzwerks).
Wenn Sie auf diese Weise ein überbrücktes Netzwerk einrichten, ist Ihr DNS-Server möglicherweise immer noch an die ursprüngliche Ethernet-Schnittstelle gebunden und nicht an die neue überbrückte Schnittstelle.
Wenn das der Fall ist, werden die Pakete nicht richtig beim Router ankommen. Bringen Sie den DNS-Server dazu, sich an die Bridge-Schnittstelle oder noch besser an die IP-Adresse der Bridge-Schnittstelle zu binden, damit es funktioniert, unabhängig davon, ob das VPN aktiv ist oder nicht.
Antwort4
Ich habe das gleiche Problem mit dem Cisco VPN-Client, der mit einem USB-GSM-Modem funktioniert. Das Problem wurde mit dem nächsten Satz in ASA Cisco ASA gelöst.
group-policy TestVPN attributes
split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net
Wobei „dominioprivado1.com dominioprivado1.org dominioprivado1.net“ die DNS-Zonen sind, die die privaten Servernamen enthalten.