У нас есть ASA5505, и это основа нашей сети, которая контролирует правила DHCP / NAT, межсетевой экран и т. Д.
У нас возникают проблемы с доступом пользователей VPN к локальным системам.
Мы можем проверить связь с IP-адресами и полным доменным именем (server.domain.local), но они не могут выполнить проверку связи или получить доступ к системе через имя сервера. (\ например сервер)
Я выполнил все возможные конфигурации через сервер, но не смог решить проблему разрешения DNS.
Я думаю, что ASA 5505 может блокировать его в соответствии с правилами политики (asdm).
У кого-нибудь есть идеи?
Заранее спасибо!
Вероятно, проблема не в блокировке ASA как таковая, а в проблеме DNS 101. В общем, сетевой интерфейс в Windows должен иметь DNS-суффикс для конкретного соединения. Это не обязательно, но, если оно существует, будет добавлено в список поиска суффиксов DNS.
DNS-суффикс сетевого интерфейса, зависящий от подключения, либо изучается, либо статически назначается администратором. В случае DHCP - сервер DHCP возвращает (параметр 15 и / или параметр 119) значения, которые использует клиент DHCP. В случае статических присвоений - суффикс может быть назначен статически.
В случае пользователей VPN с удаленным доступом администратор обычно должен настроить доменное имя и / или порядок поиска суффиксов на сервере / конечной точке VPN. На ASA это настроено в ASA group-policy для конкретной совпадающей групповой политики (от AnyConnect или IPSec).
Нижеприведенное фрагмент предполагает групповую политику по умолчанию (DfltGrpPolicy) и задает имя домена acme.local. Обратите внимание, что групповую политику по умолчанию не следует использовать в производственной среде (создать ее довольно просто).
group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
dns-server value 10.0.0.10 10.0.0.11
default-domain value acme.local
@SpacemanSpiff
Короче да. Начиная с ASA 7.0.1, sysopt connection permit-vpn Команда глобальной конфигурации включена по умолчанию. Эта команда позволяет трафику, выходящему через VPN-туннель (L2L или RA), после расшифровки обходить интерфейсные ACL. Трафик, входящий в туннель VPN (подлежащий шифрованию), все равно сначала попадает в ACL интерфейса.
С участием sysopt connection permit-vpn на месте и оставленный в покое (рекомендуется) - можно контролировать трафик VPN с помощью групповой политики и пользовательских ACL, настроенных с помощью vpn-filter команду в правильном режиме. Однако без vpn-filter (но с sysopt connection permit-vpn) на месте ASA будет перенаправлять трафик L2L и RA VPN, который он расшифровывает, без учета ACL интерфейса.
Если войти no sysopt connection permit-vpn тогда нужно явно разрешить IKE, ESP (и другие) в дополнение к дешифрованному трафику, чтобы он был разрешен. Однако я (как и многие) считаю, что проще (и так же безопасно) оставить sysopt connection permit-vpn на месте и использовать vpn-filter при необходимости.
Разрешаются ли эти имена через разрешение имен NetBIOS или DNS?
Если это NetBIOS, настройте DNS; широковещательный трафик, который он использует, не будет проходить через VPN-туннель.
Если это DNS, вам просто нужно настроить суффикс поиска в политике VPN клиента, который отправляется подключенным клиентам.