我們ASA 5505部署了幾個。目前,我們的設定是本機 ASA 應答 DHCP 查詢並使用兩個 DNS 伺服器設定用戶端:我們的災難復原站台 DNS 伺服器(我們使用 AD)和公用 DNS。
當 VPN 隧道關閉時,我們需要讓客戶端存取「網際網路」(這不僅意味著封包路由,還意味著 DNS 回應),這排除了我們這邊提供 DHCP 服務。上面的配置讓我們可以vpnclient server [Production site VPN target] [DR site VPN target]毫無問題地使用。
這是先前配置的解決方法,我們透過調整 DHCP 分配的 DNS 來手動對隧道進行故障轉移。超高的觸感和緩慢的速度。
在 Fortigate 上,有一個負載平衡服務,可以建立 VIP 並進行一些檢查以驗證與 DNS 伺服器的連線。
除了負載平衡等創意解決方案之外,我們如何設定由現場 ASA 分配 DHCP 的用戶端以將 DNS 查找傳送到特定伺服器?
[邊註]
只是想我們可以在每個站點使用負載平衡器,透過相同的 VIP(只能由 VPN 用戶端存取)提供 DNS 服務。但這是針對可能的客戶端問題的複雜伺服器端解決方案。
答案1
在您的情況下,我將簡單地使用 ASA 作為 DHCP,將其內部 IP 分發為 DNS 伺服器,使用隧道 DNS 的 DNS 代理,並在設定中列出多個公共 DNS。
例如。 (這些指令適用於 c3900 裝置 ios15.1,您可能需要進行變更才能與 ASA 軟體相容)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
這適用於小型辦公室,我在 100 名或更少的用戶上使用它,但如果您有 ram,則可以擴展。
在隧道上執行 ip-sla 以了解其何時關閉並使用預設路由指向隧道將使切換更快、更可靠。只需確保您定義了靜態路由以指向本地外部接口,否則當隧道關閉時,asa 將刪除預設路由,然後一切可能會停止工作。