*更新,事实证明,添加额外的 nat 排除可以阻止触发 dns 修改,从而解决问题。
所以我的办公室的 VPN 设置还有最后一个未解决的问题。
我可以成功通过 VPN 接入并在外部接口上分配 IP 192.168.7.1。然后我可以毫无问题地通过 SSH 连接到我们内部 192.168.xx 范围内的任何机器。但是,当我为我们的一台 DMZ 托管机器向 192.168.1.1 上的内部 DNS 服务器发出 DNS 请求时,DNS 回复被篡改为给我 91.xxx 范围内的公共 IP,而不是 10.1.16.34 IP。
10.1.0.x
192.168.xx dmz 91.xxx
[内部 | cisco asa 5510| 外部]
|
|分配 192.168.7.x
|
|
[思科 VPN 客户端]
以下是我们 IOS 配置中的相关内容。
访问列表 inside_nat0 扩展允许 ip 192.168.0.0 255.255.240.0 10.1.16.0 255.255.252.0 访问列表 inside_nat0 扩展允许 ip 192.168.7.0 255.255.255.224 192.168.0.0 255.255.240.0 访问列表 inside_nat0 扩展允许 ip 192.168.0.0 255.255.240.0 192.168.7.0 255.255.255.224 //已添加以修复 访问列表 outside_nat0 扩展允许 ip 192.168.7.0 255.255.255.224 10.1.16.0 255.255.252.0 访问列表 outside_nat0 扩展允许 ip 10.1.16.0 255.255.252.0 192.168.7.0 255.255.255.224 nat (内部) 0 访问列表 inside_nat0 nat (内部) 1 0.0.0.0 0.0.0.0 nat (外部) 1 192.168.7.0 255.255.255.224 nat (dmz) 2 0.0.0.0 0.0.0.0 //已添加以修复 nat (外部) 0 访问列表 outside_nat0 nat (dmz) 0 访问列表 outside_nat0 静态(dmz,外部)91.xxx 10.1.16.34 网络掩码 255.255.255.255 dns tcp 1000 100 udp 1000
! 类映射检查默认 匹配默认检查流量 ! ! 策略映射类型检查 DNS preset_dns_map 参数 消息长度最大为 512 策略图 global_policy 检查类_默认 检查 DNS preset_dns_map 检查 ftp 检查 h323 h225 检查 h323 ras 检查 rsh 检查 rtsp 检查 esmtp 检查 sqlnet 检查瘦 检查 sunrpc 检查 xdmcp 检查 SIP 检查 netbios 检查 tftp 检查 icmp ! 服务策略 global_policy 全局
答案1
嗯,客户端在外部接口上 - DNS 修改确实按照预期运行。
您真的需要在该转换上启用 DNS 修复吗?您是否从具有内部地址的内部服务器提供公共 DNS,并且只是在出门时让修复捕获该地址?
如果没有,那么只要撕掉dns你的static线就可以了。
如果是这样,请考虑设置一个仅提供公共 DNS 的 DNS 服务器。
如果您决定继续启用 DNS 修改功能,那么我可以想到一个不太好的解决方法:两个策略静态转换 - 一个用于目标为内部且 DNS 修改功能已禁用的情况,另一个用于优先级较低的情况且启用 DNS 修改功能。就像我说的:不太好。
答案2
事实证明,只需添加额外的 nat 排除即可禁用 dns 修改。本质上,来自 vpn ip 池中的外部接口的所有流量都需要被标识为非 nat,才能正确地与 dmz 和内部接口通信。