우리는 여러 대를 ASA 5505배치했습니다. 현재 로컬 ASA가 DHCP 쿼리에 응답하고 DR 사이트 DNS 서버(AD 사용)와 공용 DNS라는 두 개의 DNS 서버로 클라이언트를 구성하는 설정이 있습니다.
VPN 터널이 다운되면 클라이언트에게 "인터넷"에 대한 액세스 권한을 부여해야 합니다(이는 패킷 라우팅뿐만 아니라 DNS 응답을 의미함). 이는 우리 측에서 DHCP 서비스를 배제합니다. 위의 구성을 사용하면 vpnclient server [Production site VPN target] [DR site VPN target]문제 없이 사용할 수 있습니다 .
이는 DHCP 할당 DNS를 조정하여 터널을 수동으로 장애 조치한 이전 구성의 해결 방법입니다. 매우 높은 터치와 느림.
Fortigate에는 VIP를 생성하고 DNS 서버에 대한 연결을 확인하는 몇 가지 검사를 수행하는 로드 밸런싱 서비스가 있었습니다.
로드 밸런싱과 같은 창의적인 솔루션 외에도 필드 ASA에서 DHCP를 할당한 클라이언트가 특정 서버에 DNS 조회를 보내도록 구성하려면 어떻게 해야 합니까?
[사이드 노트]
동일한 VIP(VPN 클라이언트에서만 액세스할 수 있음)를 통해 DNS를 제공하는 각 사이트에서 로드 밸런서를 사용할 수 있다고 생각했습니다. 그러나 이는 가능한 클라이언트 측 문제에 대한 복잡한 서버 측 솔루션입니다.
답변1
귀하의 상황에서는 내부 IP를 DNS 서버로 전달하는 DHCP로 ASA를 사용하고 터널 DNS에 DNS 프록시를 사용하며 구성에 여러 공용 DNS가 나열되도록 합니다.
예. (이 명령은 c3900 장비 ios15.1에서 작동하며 ASA 소프트웨어와 호환되도록 변경해야 할 수도 있습니다)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
이것은 소규모 사무실에서 작동하며 사용자가 100명 이하인 경우에 사용하지만 RAM이 있으면 확장할 수 있습니다.
터널에서 ip-sla를 실행하여 언제 다운되었는지 확인하고 기본 경로를 사용하여 터널을 가리키면 전환이 더 빠르고 안정적으로 이루어집니다. 로컬 외부 인터페이스를 가리키도록 정의된 정적 경로가 있는지 확인하세요. 그렇지 않으면 터널이 다운되면 asa가 기본 경로를 제거하고 작업이 중지될 수 있습니다.