我進行了以下設定:
LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN
透過 VPN 連接到 LAN 運作正常。我正確地獲取了所有詳細信息,並且可以使用其 IP 對內部網路上的任何主機執行 ping 操作。但是,我無法進行任何主機查找。我查看了日誌並在防火牆日誌中發現了這個金塊:
3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371
53埠是DNS服務,不是嗎?由於該日誌條目,我認為問題出在防火牆上,而不是伺服器。有任何想法嗎?請記住,我對這種防火牆的了解和經驗很少,而且我所擁有的經驗很少是使用 ASDM GUI 控制台,而不是 CLI 控制台。
答案1
1) 您的客戶端是直接與 ASA 還是與圖中的「VPN 伺服器」建立隧道? 2) 您的 VPN 用戶端是否獲得與您的內部網路相同的 IP 範圍或單獨的範圍?
根據日誌條目,聽起來您的用戶端正在建立到 ASA 的隧道,並指定了與內部網路不同的子網路。如果是這種情況,我認為您需要在 ASA 上設定 NAT 豁免規則,告訴它不要嘗試在您的內部 IP 範圍和 VPN IP 範圍之間進行 NAT 流量。這會保留您的來源網路(VPN 子網路)和目標網路(內部子網路),因此 ASA 認為它不需要公有/私人 NAT 規則來基於其看到流量通過的 2 個介面來存取內部網路。在 GUI 中,它位於:配置選項卡>>防火牆>>NAT 規則,儘管我在 GUI 中製定類似規則的經驗很複雜 - 可能必須轉到 CLI。
答案2
根據我的經驗,這應該適用於 ASA 的開箱即用設定。檢查 ASA 上是否存在可能覆蓋 LAN DHCP 伺服器設定的任何 DHCP 設定。
要找的行是dhcpd domain,dhcpd dns和dhcpd auto_config。
我使用的設定非常穩健,但讓 ASA 為本機用戶端執行 DHCP - 這意味著如果 VPN 發生故障,用戶仍然可以存取本機系統。
答案3
我對您正在使用的特定硬體沒有經驗。但是,使用 openvpn,您需要橋接網路才能使 DNS 查詢正常運作。從表面上看,您已經設定了橋接 VPN(即您的用戶端 IP 位址與目標網路的 IP 位址位於相同範圍內)。
當您像這樣設置橋接網路時,您的 DNS 伺服器可能仍然綁定到原始乙太網路接口,而不是新的橋接接口。
如果是這種情況,封包將無法正確到達路由器。將 DNS 伺服器綁定到橋接接口,甚至更好地綁定到橋接接口的 IP 位址,這樣無論 VPN 是否處於活動狀態,它都可以工作。
答案4
我在使用 USB GSM 數據機使用 Cisco VPN 用戶端時也遇到相同的問題。使用 ASA Cisco ASA 中的下一句話解決了這個問題。
group-policy TestVPN attributes
split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net
其中「dominioprivado1.com dominioprivado1.org dominioprivado1.net」是包含伺服器名稱私有的 DNS 區域。