我遇到过这种情况:我们一些远程办公室的计算机有时会无法使用我们的 DNS 服务器(位于总部)来解析主机名。这些办公室通过 VPN 连接,使用 Cisco ASA 5505(VPNclient 配置,而不是 Site to Site),然后连接到总部的 ASA 5510。
ping DNS 服务器的 IP 地址成功。但 nslookup 会收到“服务器无响应”消息。其他位置的计算机可以正常使用 DNS。
这是一个间歇性问题。一天/一小时可以工作,另一天/一小时则不行。以同样方式连接的其他办公室可以工作,而另一家则不行。
在我们发现问题时,路由器上的配置没有发生任何改变。
客户端断开连接的 DNS 服务器位于 172.16.0.0/12 网络中的私有地址空间中。ASA 5505 及其后面的客户端分别位于 10.6.x.0/24 私有地址空间中。
每个 ASA 5505 都配置了其 DHCP 服务器,用于为其后面的客户端分配地址和 DNS 配置 - 这些客户端通常是 Windows XP 客户端,Windows 7 的数量也在不断增加。主 DNS 是我们在 172.16.0.0/12 空间中的 DNS,辅助 DNS 是 8.8.8.8,以便在 VPN 隧道因任何原因断开时允许访问互联网。
一些用户报告说,在 Windows XP 中修复连接后,问题消失。我认为这可能是由于 DNS 缓存被刷新所致 - Windows DNS 缓存使间歇性问题看起来不那么严重,因为它缓存了失败的查找和成功的查找。但是,可能涉及 Windows 的其他方面。Windows 7 客户端也遇到了同样的问题。
关于更深入的故障排除有任何指示吗?或者还有其他人发现了这一点吗?
答案1
确保办公室端的端口 53 没有被阻止。另外,我会确保他们没有静态分配的 IP 和 DNS 服务器。我还会查看该位置充当 DNS MITM 的 PC。
答案2
DNS over VPN 问题几乎总是与客户端 DHCP/VPN DNS 名称服务器配置有关。
在 Windows 中,一切皆有可能。
尝试从 DHCP 中全部删除客户端,看看问题是否消失。
提供有关客户端配置和相关 IP 范围的更多详细信息。
检查所有防火墙、路由器和 VPN 的 53 端口 tcp 和 udp。