%3F.png)
Eu tenho a seguinte configuração:
LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN
A conexão à LAN via VPN funciona bem. Recebo todos os detalhes corretamente e posso executar ping em qualquer host na rede interna usando seu IP. No entanto, não consigo fazer nenhuma pesquisa de host. Examinei os logs e encontrei esta pepita no log do firewall:
3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371
A porta 53 são serviços DNS, não? Por causa dessa entrada de log, acho que o problema está no firewall, não no servidor. Alguma ideia? Tenha em mente que tenho muito pouco conhecimento e experiência com esse tipo de firewall e a pouca experiência que tenho é com o console ASDM GUI, não com o console CLI.
Responder1
1) Seus clientes estão estabelecendo o túnel diretamente com o ASA ou com o "servidor VPN" no seu diagrama? 2) Seus clientes VPN recebem o mesmo intervalo de IP da sua rede interna ou um intervalo separado?
Com base na entrada de log, parece que seus clientes estão estabelecendo o túnel para o ASA e recebendo uma sub-rede diferente da rede interna. Se for esse o caso, acho que você precisa de uma regra de isenção de NAT em seu ASA para dizer a ele para não tentar o tráfego NAT entre seu intervalo de IP interno e seu intervalo de IP VPN. Isso preserva suas redes de origem (sub-rede VPN) e de destino (sub-rede interna) para que o ASA não pense que precisa de uma regra NAT pública/privada para acesso à rede interna com base nas 2 interfaces pelas quais está vendo o tráfego passar. Na GUI, isso está em: Guia Configuração >> Firewall >> Regras NAT, embora eu tenha tido experiências mistas criando regras como essa na GUI - talvez seja necessário ir para a CLI.
Responder2
Na minha experiência, isso deve funcionar com a configuração pronta para uso do ASA. Verifique se há alguma configuração de DHCP no ASA que possa estar substituindo suas configurações do servidor LAN DHCP.
As linhas a serem procuradas são dhcpd domain, dhcpd dnse dhcpd auto_config.
A configuração que uso é bastante robusta, mas o ASA faz DHCP para os clientes locais - isso significa que se a VPN cair, os usuários ainda terão acesso aos sistemas locais.
Responder3
Não tenho experiência com o hardware específico com o qual você está trabalhando. No entanto, com o openvpn, você precisa fazer uma ponte na rede para que as consultas de DNS funcionem. Pelo que parece, você já tem uma VPN em ponte configurada (ou seja, o endereço IP do seu cliente está no mesmo intervalo da rede de destino).
Quando você configura uma rede em ponte dessa forma, seu servidor DNS ainda pode estar vinculado à interface Ethernet original em vez da nova interface em ponte.
Se for esse o caso, os pacotes não chegarão ao roteador corretamente. Faça com que o servidor DNS se ligue à interface da ponte ou, melhor ainda, ao endereço IP da interface da ponte para que funcione independentemente de a VPN estar ativa ou não.
Responder4
Tenho o mesmo problema com o Cisco VPN Client trabalhando com modem USB GSM. O problema foi resolvido usando a próxima frase do ASA Cisco ASA.
group-policy TestVPN attributes
split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net
Onde “dominioprivado1.com dominioprivado1.org dominioprivado1.net” são as zonas DNS que contém os nomes dos servidores privados.