Я только что купил ASA 5505, который настраивает для меня мой центр обработки данных. Они сказали мне, что установка ASA на маршрутизацию с NAT приведет к поломке Web / DNS-сервера во внутренней сети.
Например: IP-адрес WAN 66.xxx.47.x - преобразованный в IP-адрес LAN 192.168.0.1 во внутренней сети - не будет предоставлять IP-адрес WAN внутреннему Web / DNS-серверу, что, очевидно, нарушит работу DNS - конечно, DC предоставляет никаких других подробностей.
Большинство людей предоставляют веб-сервисы за ASA, установленным в прозрачном режиме? Похоже, что у переходного режима есть некоторые недостатки, одним из которых является отсутствие прерывания трафика VPN.
Похоже, что маршрутизированный / NAT является наиболее безопасным / универсальным, но, возможно, я не вижу преимуществ временного режима, на первый взгляд кажется быстрым и грязным способом начать работу, надеюсь, даже больше.
Обратная связь приветствуется, я должен позвонить по этому поводу в ближайшее время.
Статические записи ASA позволяют использовать манипулятор «dns», который на лету перезаписывает ответ DNS. Если они говорят, что это невозможно, они не знают, что делают с ASA.
Типичная статическая запись выглядит так:
static (inside,outside) 66.1.47.1 192.168.0.2 netmask 255.255.255.255
Если они запрограммируют его через ASDM, он обычно добавляет часть DNS. Это изменяет ответы DNS, приходящие извне. Это НЕ то, что вы хотите:
static (inside,outside) 66.1.47.1 192.168.0.2 netmask 255.255.255.255 dns
Избавьтесь от этого DNS-запроса, и все будет в порядке
Прозрачный режим довольно хорош, но он удаляет множество функций из ASA. Используйте режим маршрутизации, если у вас нет других причин.
Это зависит от того, какая у вас настройка DNS.
Наши DNS-серверы и веб-серверы находятся за ASA 5510 с использованием NAT.
На DNS-сервере (BIND) мы предоставляем различную информацию в зависимости от того, с какого IP-адреса исходит запрос. Это Разделение горизонта DNS.
Если запрос приходит изнутри, мы отвечаем внутренним IP.
Если запрос приходит извне, мы отвечаем внешним IP.
Например, если запрос исходит от обычного внешнего хоста, мы отвечаем с IP-адресом 66.xxx.47.x веб-сервера. Однако, если внутренний хост запрашивает IP-адрес, мы отвечаем с IP-адресом 192.168.0.x веб-сервера.
По сути, вполне возможно разместить DNS и веб-серверы за ASA с использованием NAT, если вы правильно настроили свой DNS-сервер.