VPN está funcionando, exceto para pesquisas de DNS. Firewall (Cisco ASA 5505) questão?

3

Eu tenho a seguinte configuração:

LAN ->  DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN

Conectar-se à LAN via VPN funciona bem. Eu recebo todos os detalhes corretamente e posso pingar qualquer host na rede interna usando seu IP. No entanto, não posso fazer nenhuma pesquisa de host. Eu olhei através dos logs e encontrei este nugget no log do firewall:

3   Sep 08 2010 10:46:40    305006  10.0.0.197  65371           portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371

A porta 53 é serviços de DNS, não? Por causa dessa entrada de log, estou pensando que o problema está no firewall, não no servidor. Alguma ideia? Por favor, tenha em mente que eu tenho muito pouco conhecimento e experiência com esse tipo de firewall e a pouca experiência que tenho é com o console da GUI do ASDM, não com o console da CLI.

    
por Marcus Stade 08.09.2010 / 12:11

4 respostas

0

1) Seus clientes estão estabelecendo o túnel diretamente com o ASA ou com o "servidor VPN" em seu diagrama? 2) Os seus clientes VPN recebem o mesmo intervalo de IP que a sua rede interna ou um intervalo separado?

Com base na entrada de log, parece que seus clientes estão estabelecendo o túnel para o ASA e recebem uma sub-rede diferente da rede interna. Se este for o caso, eu acho que você precisa de uma regra de isenção de NAT em seu ASA para dizer a ele para não tentar o tráfego NAT entre seu intervalo de IP interno e seu intervalo de IP de VPN. Isso preserva sua origem (sub-rede VPN) e as redes de destino (sub-rede interna) para que o ASA não pense que precisa de uma regra NAT pública / privada para acesso à rede interna com base nas duas interfaces em que o tráfego está passando. Na GUI, está em: guia Configuração > > Firewall > > Regras NAT, embora eu tenha tido experiências mistas fazendo regras como esta na GUI - talvez tenha que ir para o CLI.

    
por 08.09.2010 / 18:36
0

Na minha experiência, isso deve funcionar com a configuração imediata do ASA. Verifique as configurações de DHCP no ASA que possam estar substituindo as configurações do servidor DHCP da LAN.

As linhas a procurar são dhcpd domain , dhcpd dns e dhcpd auto_config .

A configuração que eu uso é bastante robusta, mas tem o ASA fazendo DHCP para os clientes locais - isso significa que se a VPN cair, os usuários ainda terão acesso aos sistemas locais.

    
por 22.09.2010 / 13:02
0

Não tenho experiência com o hardware específico com o qual você está trabalhando. No entanto, com o openvpn, você precisa ter uma ponte na rede para que as consultas do DNS funcionem. Pelo que parece, você já tem uma configuração de VPN em ponte (ou seja, o endereço IP do cliente está no mesmo intervalo da rede de destino).

Quando você configura uma rede de ponte como essa, seu servidor de dns ainda pode ser vinculado à interface ethernet original em vez da nova interface em ponte.

Se esse for o caso, os pacotes não receberão o roteador corretamente. Obtenha o servidor DNS para ligar à interface da bridge ou, melhor ainda, para o endereço IP da interface da bridge, para que funcione independentemente de a VPN estar ativa ou não.

    
por 23.01.2013 / 20:44
0

Eu tenho o mesmo problema com o Cisco VPN Client que trabalha com o modem USB GSM. O problema foi resolvido usando a próxima sentença no ASA Cisco ASA.

group-policy TestVPN attributes
  split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net 

Onde "dominioprivado1.com dominioprivado1.org dominioprivado1.net" são as zonas DNS que contêm os nomes dos servidores privados.

    
por 03.04.2013 / 21:41