IPv6 sobre Cisco IPSec VPN?

5

Usamos um Cisco ASA 5505 como o firewall e o ponto de extremidade IPSec VPN em nossa rede.

Usamos o tunelamento dividido para reduzir a carga no nosso link da Internet. Em outras palavras, quando alguém está conectado à VPN, suas consultas DNS passam pelo nosso servidor DNS interno, e todo o tráfego de hosts resolvidos para 10.0.0.0/8 é enviado pelo túnel. Outro tráfego é enviado através do seu gateway de internet local. Isso funcionou bem para o tráfego IPv4.

Agora, implementei a conectividade IPv6 (um túnel SixXS 6in4) em todos os servidores e desktops da LAN. Um número (esperançosamente crescente) de nossos usuários tem sua própria conectividade IPv6 em casa.

Quando eu adiciono os endereços IPv6 de nossos servidores internos ao nosso DNS Bind9 interno, alguns dos usuários externos não podem se conectar adequadamente aos servidores internos. Estou assumindo que eles obtêm um registro AAAA do nosso DNS e seus aplicativos, tendo uma preferência pelo endereço AAAA, tente se conectar diretamente ao servidor através do IPv6 em vez de usar o túnel IPSec. Eles correm para o nosso firewall e, eventualmente, atingem o tempo limite e se conectam pelo IPv4. Em resposta, removi os registros AAAA do nosso DNS.

De acordo com esta postagem no fórum , o cliente Cisco IPSec não suporta IPv6, então eu teria que faça o upgrade caro para AnyConnect.

Solução que eu criei:

  • Criação de um DNS com divisão de cérebro que forneça registros AAAA para hosts da LAN e somente registros A para clientes VPN. Os clientes VPN estão em um intervalo IPv4 específico, mas não há ideia de como configurar o DNS com divisão de cérebros.
  • Simplesmente não fornece registros AAAA no DNS interno. Isso limitaria nosso uso de IPv6 a conexões de clientes internos a servidores da Internet que anunciam registros AAAA. O tráfego interno permanecerá IPv4.

Seus pensamentos, por favor? Existe uma solução que me permita continuar usando o IPSec VPN e anunciar o IPv6 nos servidores?

    
por Martijn Heemels 16.04.2011 / 17:52

1 resposta

1

Embora não seja a solução mais elegante, você pode resolver esse problema no nível do DNS usando exibições divididas do BIND, que permitem apresentar diferentes informações de DNS a diferentes clientes. Como os seus clientes VPN estão nitidamente separados, a filtragem será simples. Configurar seus arquivos de zona para que você não tenha que fazer várias entradas para cada servidor requer um pouco de arte, mas não é muito difícil. Veja este exemplo ou a documentação do BIND9.

    
por 17.04.2011 / 20:37