我已经进行了以下设置:
LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN
通过 VPN 连接到 LAN 工作正常。我正确获取了所有详细信息,并且可以使用其 IP 对内部网络上的任何主机进行 ping 操作。但是,我无法进行任何主机查找。我查看了日志,并在防火墙日志中发现了以下信息:
3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371
端口 53 是 DNS 服务,不是吗?根据该日志条目,我认为问题出在防火墙上,而不是服务器上。有什么想法吗?请记住,我对这种防火墙的知识和经验很少,而且我所拥有的一点经验是使用 ASDM GUI 控制台,而不是 CLI 控制台。
答案1
1) 您的客户端是直接与 ASA 建立隧道,还是与图中的“VPN 服务器”建立隧道? 2) 您的 VPN 客户端是否被赋予与内部网络相同的 IP 范围或单独的范围?
根据日志条目,听起来您的客户端正在建立到 ASA 的隧道,并指定与内部网络不同的子网。如果是这种情况,我认为您需要在 ASA 上设置 NAT 豁免规则,以告诉它不要尝试在您的内部 IP 范围和 VPN IP 范围之间对流量进行 NAT。这样可以保留您的源(VPN 子网)和目标网络(内部子网),因此 ASA 不会认为它需要基于它看到的流量通过的 2 个接口的公共/私有 NAT 规则来访问内部网络。在 GUI 中,它位于:配置选项卡>>防火墙>>NAT 规则,尽管我在 GUI 中制定此类规则的经验各不相同 - 可能必须转到 CLI。
答案2
根据我的经验,这应该适用于 ASA 的现成配置。检查 ASA 上是否有任何 DHCP 设置可能会覆盖来自 LAN DHCP 服务器的设置。
要查找的行是dhcpd domain、dhcpd dns和dhcpd auto_config。
我使用的设置非常强大,但是 ASA 为本地客户端执行 DHCP - 这意味着如果 VPN 中断,用户仍然可以访问本地系统。
答案3
我对您正在使用的特定硬件没有经验。但是,使用 openvpn,您需要桥接网络才能使 dns 查询正常工作。从情况来看,您已经设置了桥接 VPN(即您的客户端 IP 地址与目标网络的 IP 地址在同一范围内)。
当您像这样设置桥接网络时,您的 DNS 服务器可能仍绑定到原始以太网接口而不是新的桥接接口。
如果是这种情况,数据包将无法正确路由。让 DNS 服务器绑定到桥接接口,或者最好绑定到桥接接口的 IP 地址,这样无论 VPN 是否处于活动状态,它都可以正常工作。
答案4
我在使用 USB GSM 调制解调器时遇到了与 Cisco VPN Client 相同的问题。使用 ASA Cisco ASA 中的下一句解决了该问题。
group-policy TestVPN attributes
split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net
其中“dominioprivado1.com dominioprivado1.org dominioprivado1.net”是包含服务器名称私人的 DNS 区域。