Tenemos varios ASA 5505desplegados. Actualmente, tenemos una configuración donde el ASA local responde consultas DHCP y configura clientes con dos servidores DNS: nuestro servidor DNS del sitio DR (usamos AD) y un DNS público.
Necesitamos dar a los clientes acceso a "Internet" cuando el túnel VPN está inactivo (esto significa no solo enrutamiento de paquetes sino respuestas DNS), lo que descarta el servicio DHCP de nuestra parte. La configuración anterior nos permite usarla vpnclient server [Production site VPN target] [DR site VPN target]sin problemas.
Esta es una solución alternativa a la configuración anterior en la que conmutamos manualmente los túneles ajustando el DNS asignado por DHCP. Toque súper alto y lento.
En Fortigate, había un servicio de equilibrio de carga que creaba un VIP y tenía algunas comprobaciones para verificar la conectividad a los servidores DNS.
Más allá de una solución creativa como el equilibrio de carga, ¿cómo podemos configurar clientes a los que nuestros ASA de campo asignan DHCP para enviar búsquedas de DNS a servidores específicos?
[nota al margen]
Solo pensé que podríamos usar balanceadores de carga en cada sitio que sirva DNS a través del mismo VIP (solo accesible para clientes VPN). Pero esta es una solución compleja del lado del servidor para un posible problema del lado del cliente.
Respuesta1
En su situación, simplemente usaría el ASA como un DHCP que entrega su IP interna como servidor DNS, usaría el proxy DNS para el túnel DNS y tendría varios DNS públicos enumerados en la configuración.
P.EJ. (Estos comandos funcionan en el equipo c3900 ios15.1, es posible que deba realizar cambios para que sean compatibles con el software ASA)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
Esto funciona para oficinas pequeñas, lo uso con 100 usuarios o menos, pero se puede ampliar si tienes RAM.
Ejecutar un ip-sla en el túnel para saber cuándo está inactivo y usar la ruta predeterminada para señalar el túnel haría que el cambio fuera más rápido y confiable. Solo asegúrese de tener una ruta estática definida para apuntar a la interfaz externa local o cuando el túnel se caiga, asa eliminará la ruta predeterminada y entonces todo podría dejar de funcionar.