我们有一台 ASA5505,它是我们网络的骨干,控制 DHCP/NAT 规则/防火墙等。
我们在 VPN 用户访问本地系统时遇到了问题。
我们可以 ping IP 地址和 FQDN(server.domain.local),但他们无法通过服务器名称 ping 或访问系统。(例如 \server)
我已经通过服务器完成了我能想到的所有配置,但无法解决 DNS 解析问题。
我认为 ASA 5505 可能根据策略规则 (asdm) 阻止它。
有人有什么想法吗?
提前致谢!
答案1
这些名称是通过 NetBIOS 名称解析还是 DNS 来解析的?
如果是 NetBIOS,则设置 DNS;它使用的广播流量不会穿越 VPN 隧道。
如果是 DNS,那么您只需要在发送给连接客户端的客户端 VPN 策略中设置一个搜索后缀。
答案2
可能不是 ASA 阻止本身的问题——而是 DNS 101 问题。一般来说,网络接口在 Windows 中应具有特定于连接的 DNS 后缀。这不是必需的,但如果存在,则会将其添加到 DNS 后缀搜索列表中。
网络接口连接特定的 DNS 后缀可由管理员学习或静态分配。对于 DHCP,DHCP 服务器会返回 DHCP 客户端使用的(选项 15 和/或选项 119)值。对于静态分配,后缀可以静态分配。
对于远程访问 VPN 用户管理员通常必须在 VPN 服务器/端点上配置域名和/或后缀搜索顺序。在 ASA 上,这是在 ASA 中group-policy为匹配的特定组策略(来自 AnyConnect 或 IPSec)配置的。
下面片段假设默认组策略 ( DfltGrpPolicy) 并将域名设置为 acme.local。请注意,不应在生产环境中使用默认组策略(创建默认组策略相当简单)。
group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
dns-server value 10.0.0.10 10.0.0.11
default-domain value acme.local
@SpacemanSpiff
简而言之,是的。从 ASA 7.0.1 开始,sysopt connection permit-vpn全局配置命令已默认启用。此命令允许从 VPN 隧道(L2L 或 RA)传出的流量(已解密)绕过接口 ACL。进入 VPN 隧道(要加密)的流量仍会首先到达接口 ACL。
启用sysopt connection permit-vpn并保留(推荐)- 可以使用vpn-filter正确模式下的命令配置的组策略和用户 ACL 来控制 VPN 流量。但是,启用vpn-filter(但禁用sysopt connection permit-vpn)后,ASA 将转发其解密的 L2L 和 RA VPN 流量,而不考虑接口 ACL。
如果要进入,no sysopt connection permit-vpn则必须明确允许 IKE、ESP(和其他)以及解密流量才能允许。但是,我(和许多人一样)发现保留sysopt connection permit-vpn原样并vpn-filter在需要时使用更简单(并且同样安全)。