%20%EB%AC%B8%EC%A0%9C%EA%B0%80%20%EC%9E%88%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
나는 다음과 같이 설정했습니다 :
LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN
VPN을 통해 LAN에 연결하면 제대로 작동합니다. 모든 세부 정보를 제대로 얻었고 해당 IP를 사용하여 내부 네트워크의 모든 호스트에 ping을 보낼 수 있습니다. 그러나 호스트 조회는 전혀 수행할 수 없습니다. 로그를 살펴보고 방화벽 로그에서 다음 너겟을 발견했습니다.
3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371
포트 53은 DNS 서비스입니다. 그렇죠? 해당 로그 항목으로 인해 서버가 아닌 방화벽에 문제가 있는 것으로 생각됩니다. 어떤 아이디어가 있나요? 저는 이런 종류의 방화벽에 대한 지식과 경험이 거의 없으며 CLI 콘솔이 아닌 ASDM GUI 콘솔에 대한 경험도 거의 없다는 점을 명심하십시오.
답변1
1) 클라이언트가 ASA를 사용하여 직접 터널을 설정합니까, 아니면 다이어그램의 "VPN 서버"를 사용하여 터널을 설정합니까? 2) VPN 클라이언트에 내부 네트워크와 동일한 IP 범위가 제공됩니까, 아니면 별도의 범위가 제공됩니까?
로그 항목에 따르면 클라이언트가 ASA에 대한 터널을 설정하고 내부 네트워크와 다른 서브넷을 제공하는 것 같습니다. 이 경우 내부 IP 범위와 VPN IP 범위 사이에서 NAT 트래픽을 시도하지 않도록 ASA에 NAT 면제 규칙이 필요하다고 생각합니다. 이렇게 하면 소스(VPN 서브넷)와 대상 네트워크(내부 서브넷)가 보존되므로 ASA는 트래픽이 통과하는 2개의 인터페이스를 기반으로 내부 네트워크에 액세스하기 위해 공용/개인 NAT 규칙이 필요하다고 생각하지 않습니다. GUI에서는 구성 탭>>방화벽>>NAT 규칙 아래에 있습니다. GUI에서 이와 같은 규칙을 만든 경험이 혼합되어 있지만 CLI로 이동해야 할 수도 있습니다.
답변2
내 경험에 따르면 이는 ASA의 기본 구성에서 작동해야 합니다. LAN DHCP 서버의 설정을 재정의할 수 있는 ASA의 DHCP 설정을 확인하십시오.
찾아야 할 행은 dhcpd domain, dhcpd dns및 입니다 dhcpd auto_config.
제가 사용하는 설정은 매우 강력하지만 ASA가 로컬 클라이언트에 대해 DHCP를 수행합니다. 즉, VPN이 중단되더라도 사용자는 여전히 로컬 시스템에 액세스할 수 있습니다.
답변3
나는 당신이 작업하고 있는 특정 하드웨어에 대한 경험이 없습니다. 그러나 openvpn을 사용하면 DNS 쿼리가 작동하려면 네트워크를 브리지해야 합니다. 얼핏 보면 이미 브릿지 VPN이 설정되어 있는 것 같습니다(즉, 클라이언트 IP 주소가 대상 네트워크의 IP 주소와 동일한 범위에 있습니다).
이와 같이 브리지된 네트워크를 설정하면 DNS 서버가 새 브리지 인터페이스 대신 원래 이더넷 인터페이스에 계속 바인딩될 수 있습니다.
이 경우 패킷은 라우터를 올바르게 가져오지 못합니다. VPN이 활성화되어 있는지 여부에 관계없이 작동하도록 DNS 서버를 브리지 인터페이스에 바인딩하거나 브리지 인터페이스의 IP 주소에 바인딩하는 것이 더 좋습니다.
답변4
USB GSM 모뎀에서 작동하는 Cisco VPN 클라이언트와 동일한 문제가 있습니다. ASA Cisco ASA의 다음 문장을 사용하여 문제가 해결되었습니다.
group-policy TestVPN attributes
split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net
여기서 "dominioprivado1.com dominioprivado1.org dominioprivado1.net"은 서버 이름 privates를 포함하는 DNS 영역입니다.