Возможно ли, чтобы DHCP раздавал другой адрес DNS-сервера при использовании другого туннеля?

Question

Возможно ли, чтобы DHCP раздавал другой адрес DNS-сервера при использовании другого туннеля?

У нас есть несколько ASA 5505 развертывается. В настоящее время у нас есть настройка, при которой локальный ASA отвечает на запросы DHCP и настраивает клиентов с двумя DNS-серверами: DNS-сервером нашего сайта DR (мы используем AD) и общедоступным DNS.

Мы должны предоставить клиентам доступ к "Интернету", когда VPN-туннель не работает (это означает не только маршрутизацию пакетов, но и ответы DNS), что исключает обслуживание DHCP с нашей стороны. Приведенный выше конфиг позволяет нам использовать vpnclient server [Production site VPN target] [DR site VPN target] без проблем.

Это обходной путь от предыдущего конфига, когда мы вручную отказывали по туннелям, настраивая DHCP, назначенный DNS. Супер высокое касание и медленно.

На Fortigate существовала служба балансировки нагрузки, которая создавала VIP и имела некоторые проверки для проверки подключения к DNS-серверам.

Помимо творческого решения, такого как балансировка нагрузки, как мы можем настроить клиентов, которым назначены DHCP нашими полевыми ASA для отправки запросов DNS на определенные серверы?

[Примечание]

Просто подумал, что мы могли бы использовать балансировщики нагрузки на каждом сайте, которые обслуживают DNS через один и тот же VIP (доступный только VPN-клиентам). Но это сложное решение на стороне сервера для возможной проблемы на стороне клиента.

5

domain-name-system routing cisco dhcp cisco-vpn

Источник

mbrownnyc 02 мар '15 в 21:41

1 ответ

Решение

Другие вопросы по тегам domain-name-system routing cisco dhcp cisco-vpn

Random-IT 08 мар '15 в 19:24 2015-03-08 19:24 · Accepted Answer · 2015-03-08 19:24

В вашей ситуации я просто использовал бы ASA в качестве DHCP, который передает свой внутренний IP-адрес в качестве DNS-сервера, использовал DNS-прокси для туннельного DNS и имел несколько публичных DNS, перечисленных в конфигурации.

НАПРИМЕР. (эти команды работают на оборудовании c3900 ios15.1, возможно, вам придется внести изменения, чтобы быть совместимым с программным обеспечением ASA)

service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 192.168.1.1
   domain-name mydomain.net ; not required but helpful
   lease 9
ip dhcp excluded-address 192.168.1.1

это работает для небольших офисов, я использую его на 100 пользователей или меньше, но может быть масштабировано, если у вас есть оперативная память.

Запуск ip-sla в туннеле, чтобы узнать, когда он выключен, и использование маршрута по умолчанию для указания на туннель сделает переключение быстрее и более надежным. Просто убедитесь, что у вас есть статический маршрут, определенный для указания на локальный внешний интерфейс, или когда туннель выйдет из строя, asa удалит маршрут по умолчанию, и тогда все может просто перестать работать.