Cisco ASA 5505:从内部访问外部 DNS 地址

Cisco ASA 5505:从内部访问外部 DNS 地址

我们公司使用 Cisco ASA 5505。我们有一个指向外部 IP 的 DNS A 记录 (home.company.com)。在 ASA 5505 中,http 端口 (80) 被转发到内部 Web 服务器。

没问题http://home.company.com从互联网,但我们如何让它在 ASA 5505 内部工作?它不起作用,我们需要使用内部 IP 来访问 Web 服务器。我们想要的是能够访问http://home.company.com从 LAN 内部。

答案1

由于该问题从未被接受,因此不能将其标记为重复。但您的问题的答案可以在这里找到:Cisco ASA 5520 无法访问内部网络上的外部 IP

您正在谈论 Hairpin NAT。

就我个人而言,我不建议以这种方式配置 ASA,并且认为让内部 DNS 服务器将 DNS FQDN 指向服务器本身的实际内部 IP 更为明智,这样就不会无缘无故地穿越防火墙并向其添加额外的 I/O。

希望有所帮助。

答案2

使用内部 DNS 解决此问题。创建一个新区域 home.company.com,创建一个空的 a 记录(无名称),并添加要访问的内部 Web 服务器的 IP。内部用户像以前一样使用内部 IP 和外部 DNS 获取内部 DNS。此解决方案假设您有自己的内部 DNS 服务器。

相关内容