У нас ASA 5505развернуто несколько. В настоящее время у нас есть настройка, в которой локальный ASA отвечает на запросы DHCP и настраивает клиентов с двумя DNS-серверами: DNS-сервером нашего сайта DR (мы используем AD) и публичным DNS.
Нам нужно предоставить клиентам доступ к "интернету", когда VPN-туннель не работает (это означает не только маршрутизацию пакетов, но и ответы DNS), что исключает обслуживание DHCP с нашей стороны. Приведенная выше конфигурация позволяет нам использовать vpnclient server [Production site VPN target] [DR site VPN target]без проблем.
Это обходной путь предыдущей конфигурации, где мы вручную отключали туннели, настраивая назначенный DHCP DNS. Очень высокая скорость и медленная скорость.
На Fortigate имелась служба балансировки нагрузки, которая создавала VIP и выполняла некоторые проверки для подтверждения подключения к DNS-серверам.
Помимо креативного решения, такого как балансировка нагрузки, как мы можем настроить клиентов, которым наши полевые ASA назначают DHCP, для отправки DNS-запросов на определенные серверы?
[Примечание]
Просто подумал, что мы могли бы использовать балансировщики нагрузки на каждом сайте, которые обслуживают DNS через тот же VIP (доступный только VPN-клиентам). Но это сложное серверное решение для возможной проблемы на стороне клиента.
решение1
В вашей ситуации я бы просто использовал ASA как DHCP, который выдает свой внутренний IP-адрес как DNS-сервер, использовал бы DNS-прокси для туннельного DNS и указал бы в конфигурации несколько публичных DNS.
НАПРИМЕР. (эти команды работают на оборудовании c3900 ios15.1, возможно, вам придется внести изменения для совместимости с программным обеспечением ASA)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
это подходит для небольших офисов, я использую его для 100 пользователей или меньше, но его можно масштабировать, если у вас есть оперативная память.
Запуск ip-sla на туннеле, чтобы знать, когда он падает, и использование маршрута по умолчанию для указания на туннель сделает переключение более быстрым и надежным. Просто убедитесь, что у вас есть статический маршрут, определенный для указания на локальный внешний интерфейс, или когда туннель падает, asa удалит маршрут по умолчанию, и тогда все может просто перестать работать.