VPN работает, за исключением DNS-запросов. Проблема с брандмауэром (Cisco ASA 5505)?

Question 1

1) Устанавливают ли ваши клиенты туннель напрямую с ASA или с «VPN-сервером» на вашей схеме? 2) Предоставляется ли вашим VPN-клиентам тот же диапазон IP-адресов, что и вашей внутренней сети, или отдельный диапазон?

Судя по записи журнала, похоже, что ваши клиенты устанавливают туннель к ASA и получают другую подсеть, нежели внутренняя сеть. Если это так, я думаю, вам нужно правило исключения NAT на вашем ASA, чтобы сказать ему не пытаться транслировать трафик NAT между вашим внутренним диапазоном IP и вашим диапазоном IP VPN. Это сохраняет ваши исходную (подсеть VPN) и целевую сети (внутренняя подсеть), поэтому ASA не думает, что ему нужно публичное/частное правило NAT для доступа к внутренней сети на основе 2 интерфейсов, через которые он видит проходящий трафик. В графическом интерфейсе это находится в разделе: вкладка «Конфигурация»>>«Брандмауэр»>>«Правила NAT», хотя у меня был неоднозначный опыт создания таких правил в графическом интерфейсе — возможно, придется обратиться к CLI.

Answer

1) Устанавливают ли ваши клиенты туннель напрямую с ASA или с «VPN-сервером» на вашей схеме? 2) Предоставляется ли вашим VPN-клиентам тот же диапазон IP-адресов, что и вашей внутренней сети, или отдельный диапазон?

Судя по записи журнала, похоже, что ваши клиенты устанавливают туннель к ASA и получают другую подсеть, нежели внутренняя сеть. Если это так, я думаю, вам нужно правило исключения NAT на вашем ASA, чтобы сказать ему не пытаться транслировать трафик NAT между вашим внутренним диапазоном IP и вашим диапазоном IP VPN. Это сохраняет ваши исходную (подсеть VPN) и целевую сети (внутренняя подсеть), поэтому ASA не думает, что ему нужно публичное/частное правило NAT для доступа к внутренней сети на основе 2 интерфейсов, через которые он видит проходящий трафик. В графическом интерфейсе это находится в разделе: вкладка «Конфигурация»>>«Брандмауэр»>>«Правила NAT», хотя у меня был неоднозначный опыт создания таких правил в графическом интерфейсе — возможно, придется обратиться к CLI.

Question 2

По моему опыту, это должно работать с заводской конфигурацией ASA. Проверьте любые настройки DHCP на ASA, которые могут переопределять ваши настройки с вашего сервера DHCP локальной сети.

Строки, на которые следует обратить внимание: dhcpd domain, dhcpd dnsи dhcpd auto_config.

Настройка, которую я использую, довольно надежна, но в ней ASA выполняет DHCP для локальных клиентов — это означает, что в случае сбоя VPN пользователи по-прежнему будут иметь доступ к локальным системам.

Answer

По моему опыту, это должно работать с заводской конфигурацией ASA. Проверьте любые настройки DHCP на ASA, которые могут переопределять ваши настройки с вашего сервера DHCP локальной сети.

Строки, на которые следует обратить внимание: dhcpd domain, dhcpd dnsи dhcpd auto_config.

Настройка, которую я использую, довольно надежна, но в ней ASA выполняет DHCP для локальных клиентов — это означает, что в случае сбоя VPN пользователи по-прежнему будут иметь доступ к локальным системам.

Question 3

У меня нет опыта работы с конкретным оборудованием, с которым вы работаете. Однако с OpenVPN вам нужно иметь мостовую сеть для работы DNS-запросов. Судя по всему, у вас уже настроен мостовой VPN (т. е. ваш клиентский IP-адрес находится в том же диапазоне, что и сеть назначения).

При настройке мостовой сети таким образом ваш DNS-сервер может по-прежнему привязываться к исходному интерфейсу Ethernet, а не к новому мостовому интерфейсу.

Если это так, пакеты не будут попадать на маршрутизатор правильно. Заставьте DNS-сервер привязаться к интерфейсу моста или, что еще лучше, к IP-адресу интерфейса моста, чтобы он работал независимо от того, активен VPN или нет.

Answer

У меня нет опыта работы с конкретным оборудованием, с которым вы работаете. Однако с OpenVPN вам нужно иметь мостовую сеть для работы DNS-запросов. Судя по всему, у вас уже настроен мостовой VPN (т. е. ваш клиентский IP-адрес находится в том же диапазоне, что и сеть назначения).

При настройке мостовой сети таким образом ваш DNS-сервер может по-прежнему привязываться к исходному интерфейсу Ethernet, а не к новому мостовому интерфейсу.

Если это так, пакеты не будут попадать на маршрутизатор правильно. Заставьте DNS-сервер привязаться к интерфейсу моста или, что еще лучше, к IP-адресу интерфейса моста, чтобы он работал независимо от того, активен VPN или нет.

Question 4

У меня та же проблема с Cisco VPN Client, работающим с USB GSM модемом. Проблема была решена с помощью следующего предложения в ASA Cisco ASA.

group-policy TestVPN attributes
  split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net

Где «dominioprivado1.com dominioprivado1.org dominioprivado1.net» — это зоны DNS, содержащие имена серверов privates.

Answer

У меня та же проблема с Cisco VPN Client, работающим с USB GSM модемом. Проблема была решена с помощью следующего предложения в ASA Cisco ASA.

group-policy TestVPN attributes
  split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net

Где «dominioprivado1.com dominioprivado1.org dominioprivado1.net» — это зоны DNS, содержащие имена серверов privates.

VPN работает, за исключением DNS-запросов. Проблема с брандмауэром (Cisco ASA 5505)?

решение1

решение2

решение3

решение4

Связанный контент