%3F.png)
Tengo la siguiente configuración:
LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN
La conexión a la LAN a través de VPN funciona bien. Obtengo todos los detalles correctamente y puedo hacer ping a cualquier host en la red interna usando su IP. Sin embargo, no puedo realizar ninguna búsqueda de host. Revisé los registros y encontré esta pepita en el registro del firewall:
3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371
El puerto 53 son servicios DNS, ¿no? Debido a esa entrada de registro, creo que el problema está en el firewall, no en el servidor. ¿Algunas ideas? Tenga en cuenta que tengo muy poco conocimiento y experiencia con este tipo de firewall y la poca experiencia que tengo es con la consola GUI de ASDM, no con la consola CLI.
Respuesta1
1) ¿Están sus clientes estableciendo el túnel directamente con el ASA o con el "servidor VPN" en su diagrama? 2) ¿Sus clientes VPN reciben el mismo rango de IP que su red interna o un rango separado?
Según la entrada del registro, parece que sus clientes están estableciendo el túnel al ASA y les están dando una subred diferente a la red interna. Si este es el caso, creo que necesita una regla de exención de NAT en su ASA para indicarle que no intente controlar el tráfico NAT entre su rango de IP interno y su rango de IP de VPN. Esto preserva sus redes de origen (subred VPN) y de destino (subred interna), por lo que el ASA no cree que necesita una regla NAT pública/privada para acceder a la red interna basada en las 2 interfaces por las que ve el tráfico. En la GUI, esto se encuentra en: Pestaña Configuración>>Firewall>>Reglas NAT, aunque he tenido experiencias mixtas al crear reglas como esta en la GUI; es posible que tenga que ir a la CLI.
Respuesta2
En mi experiencia, esto debería funcionar con la configuración lista para usar del ASA. Verifique si hay alguna configuración de DHCP en el ASA que pueda estar anulando su configuración de su servidor DHCP de LAN.
Las líneas a buscar son dhcpd domain, dhcpd dnsy dhcpd auto_config.
La configuración que uso es bastante sólida, pero el ASA realiza DHCP para los clientes locales; esto significa que si la VPN se cae, los usuarios aún tienen acceso a los sistemas locales.
Respuesta3
No tengo experiencia con el hardware específico con el que estás trabajando. Sin embargo, con openvpn, es necesario conectar la red para que funcionen las consultas de DNS. Por lo que parece, ya tiene configurada una VPN en puente (es decir, la dirección IP de su cliente está en el mismo rango que la de la red de destino).
Cuando configura una red en puente como esta, es posible que su servidor DNS aún esté vinculado a la interfaz Ethernet original en lugar de a la nueva interfaz en puente.
Si ese es el caso, los paquetes no llegarán al enrutador correctamente. Haga que el servidor DNS se vincule a la interfaz del puente o, mejor aún, a la dirección IP de la interfaz del puente para que funcione independientemente de si la VPN está activa o no.
Respuesta4
Tengo el mismo problema con Cisco VPN Client que funciona con un módem USB GSM. El problema se resolvió usando la siguiente oración en ASA Cisco ASA.
group-policy TestVPN attributes
split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net
Donde "dominioprivado1.com dominioprivado1.org dominioprivado1.net" son las zonas DNS que contienen los nombres de los servidores privados.