我遇到一个问题,需要一些帮助。
我们公司有一个主要地点和一个远程地点。以前,远程地点通过互联网连接 VPN 隧道连接到主要地点。连接速度非常慢,只有 1.5Mbps,所以我们用 75Mbps 的直接链路对其进行了升级。这意味着远程地点失去了互联网访问,所以我们通过主办公室互联网连接路由他们的访问。
一切都很完美,除了一件事。除非使用 IP 地址,否则无法从远程位置访问我们托管的网站。
如果我从连接到主位置网络的机器对我们的网站地址执行 NSLOOKUP,它会正确解析为内部 IP 地址。但是,如果我从远程位置机器执行相同操作,它会解析为网站的外部 IP 地址。
我们的内部 DNS 服务器已设置指针和 CNAME 记录,在升级连接之前,一切运行正常。此外,远程位置还设有域控制器、DNS 服务器和 DHCP 服务器,用于在远程位置处理这些请求,并防止这些请求通过链接来回路由。
所以我认为发生这种情况的原因是,出于某种原因,远程位置的 DNS 服务器无法正确解析我们的网站名称,并将请求传递给路由器,然后路由器将请求推送到互联网 DNS 系统。这会将名称解析为我们的外部 IP。
这纯粹是 DNS 问题,其他一切都正常。我只是对这一点感到困惑。
有想法该怎么解决这个吗?
编辑:我忘了提到,链路远端是 Cisco ASA-5505,主办公室是 Cisco ASA-5510。链路连接在这两个设备之间,路由由 5510 处理。
谢谢,迈克尔
答案1
这要么
- DNS 配置问题(在远程位置)
- DNS 服务器问题(错误观点)
- 翻译防火墙问题
场景 1:
确保远程位置访问与主位置相同的(内部)DNS服务器。使用
dig @internal-DNS-ip internal.website.com
并确保结尾的“;; SERVER:”输出重复该 IP。答案是否包含私有 IP 地址?
可能的情况:指示您远程位置的主机联系内部 DNS 服务器以外的 DNS 服务器。
使固定:配置远程位置计算机(或其 DHCP 服务器)以使用内部 DNS。
场景 2:
从主位置的计算机进行相同的“挖掘”查询。您是否获得了私有 IP 地址?
可能的情况:视图指示内部 DNS 服务器对某些客户端响应 X,对其余客户端响应 Y。新链接需要远程位置的新 IP 地址,并且内部 DNS 服务器上的视图掩码尚未更新。
使固定:更新视图@内部DNS的地址掩码。
场景 3:
一些路由器会窥探 DNS 响应,当它们发现您的公共 IP 地址与内部 NAT 匹配时,它们会将其替换为本地地址。
可能的情况:DNS 始终使用公共地址(无视图)回复,但来自主位置的查询会经过此类路由器,而来自远程位置的查询则不会。
使固定:配置views@internal DNS,让所有内部主机都本机接收内部网站IP。
答案2
我不确定这是否相关,但谁知道呢。
这听起来确实像路由和 DNS(或 DNSMasq)。我使用的方法对我而言非常有效,即在将静态 IP 绑定到主机作为机器后,当我直接连接到主机时,一切正常,我看到它正常工作。
我指定路由将外部连接转发到特定的内部 IP 地址;通过使用端口转发。
例如:
111.222.333.444 = 外部
192.168.1.5 作为主机托管网站
192.168.1.1 作为管理路由的网关
http 端口 = 80(对于 httpd / apache2 来说始终是默认端口 - 所以不要更改它)
在您的 192.168.1.1 机器上(或路由器作为网关模式):
port forward: http port 80 --> 192.168.1.5:80
这意味着通过 http 到您的域的任何外部连接都会将 http 流量转发到您的主机。
在你的 192.168.1.5 机器上
identify 192.168.1.1 (255.255.255.0) as your default gateway / DNS / DNS resolver (whichever is managing the routing).
答案3
感谢您的建议。问题解决了。我们在主站点有一台旧的 W2K3 机器,计划退役。原来,前任管理员在这台机器上设置了一个正向查找区域。问题是他没有将其与 AD 集成,因此无法复制。这就是为什么我们网站的 DNS 在主站点而不是远程站点解析的原因。