Temos vários ASA 5505implantados. Atualmente, temos uma configuração onde o ASA local está respondendo a consultas DHCP e configurando clientes com dois servidores DNS: nosso servidor DNS do site DR (usamos AD) e um DNS público.
Precisamos dar aos clientes acesso à "internet" quando o túnel VPN estiver inativo (isso significa não apenas roteamento de pacotes, mas respostas DNS), o que exclui o serviço DHCP do nosso lado. A configuração acima nos permite usar vpnclient server [Production site VPN target] [DR site VPN target]sem problemas.
Esta é uma solução alternativa da configuração anterior, em que falhamos manualmente nos túneis, ajustando o DNS atribuído ao DHCP. Toque super alto e lento.
Em um Fortigate, havia um serviço de balanceamento de carga que criava um VIP e fazia algumas verificações para verificar a conectividade com servidores DNS.
Além de uma solução criativa como o balanceamento de carga, como podemos configurar clientes aos quais nossos ASAs de campo atribuem DHCP para enviar pesquisas de DNS para servidores específicos?
[nota]
Pensei que poderíamos usar balanceadores de carga em cada site que atende DNS por meio do mesmo VIP (acessível apenas por clientes VPN). Mas esta é uma solução complexa do lado do servidor para um possível problema do lado do cliente.
Responder1
Na sua situação, eu simplesmente usaria o ASA como um DHCP que distribui seu IP interno como servidor DNS, usaria o proxy DNS para o DNS do túnel e teria vários DNS públicos listados na configuração.
POR EXEMPLO. (esses comandos funcionam em equipamentos c3900 ios15.1, pode ser necessário fazer alterações para serem compatíveis com o software ASA)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
isso funciona para pequenos escritórios, eu uso em 100 usuários ou menos, mas pode ser dimensionado se você tiver memória RAM.
Executar um ip-sla no túnel para saber quando ele está inativo e usar a rota padrão para apontar para o túnel tornaria a transição mais rápida e confiável. Apenas certifique-se de ter uma rota estática definida para apontar para a interface externa local ou quando o túnel cair, o asa removerá a rota padrão e então as coisas poderão simplesmente parar de funcionar.