Possível ter o DHCP distribuindo endereços diferentes do servidor DNS ao usar um túnel diferente?

Navegue suas respostas
4

Temos vários ASA 5505 implementados. Atualmente, temos uma configuração em que o ASA local está respondendo a consultas DHCP e está configurando clientes com dois servidores DNS: nosso servidor DNS do site de DR (usamos o AD) e um DNS público.

Precisamos dar aos clientes acesso à "internet" quando o túnel da VPN está inativo (isso significa não apenas roteamento de pacotes, mas respostas de DNS), o que exclui o serviço de DHCP do nosso lado. A configuração acima nos permite usar vpnclient server [Production site VPN target] [DR site VPN target] sem problemas.

Esta é uma solução alternativa da configuração anterior, na qual falhamos manualmente nos túneis ajustando o DNS atribuído pelo DHCP. Super alto toque e lento.

Em um Fortigate, havia um serviço de balanceamento de carga que criava um VIP e tinha algumas verificações para verificar a conectividade com servidores DNS.

Além de uma solução criativa como o balanceamento de carga, como podemos configurar clientes que são atribuídos a DHCP por nossos ASAs de campo para enviar pesquisas de DNS a servidores específicos?

[nota secundária]

Pensamos que poderíamos usar balanceadores de carga em cada site que atendem ao DNS por meio do mesmo VIP (acessível apenas por clientes VPN). Mas esta é uma solução complexa do lado do servidor para um possível problema do lado do cliente.

    
por mbrownnyc 02.03.2015 / 22:41

1 resposta

2

Na sua situação, eu simplesmente usaria o ASA como um DHCP que distribui seu IP interno como o servidor DNS, usa o proxy DNS para o DNS do túnel e tem vários DNS públicos listados na configuração.

(estes comandos funcionam no equipamento c3900 ios15.1, você pode ter que fazer alterações para ser compatível com o software ASA) 

service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 192.168.1.1
   domain-name mydomain.net ; not required but helpful
   lease 9
ip dhcp excluded-address 192.168.1.1

isso funciona para pequenos escritórios, eu uso em 100 usuários ou menos, mas poderia ser escalado se você tiver o RAM.

A execução de um ip-sla no túnel para saber quando está inativo e usar a rota padrão para apontar para o túnel tornaria a comutação mais rápida e confiável. Apenas certifique-se de ter uma rota estática definida para apontar para a interface externa local ou quando o túnel cair, o asa irá remover a rota padrão e então as coisas podem simplesmente parar de funcionar.

    
por 08.03.2015 / 20:24

Tags

Como configurar corretamente vários endereços IP apontando para uma instância no EC2? O disco virtual espelhado no pool de armazenamento não pode se expandir após adicionar a unidade no Windows Server 2012 R2