У нас есть несколько ASA 5505 развернут. В настоящее время у нас есть установка, в которой локальный ASA отвечает на запросы DHCP и настраивает клиентов с двумя DNS-серверами: наш DNS-сервер сайта DR (мы используем AD) и общедоступный DNS.
Нам необходимо предоставить клиентам доступ к «Интернету», когда VPN-туннель не работает (это означает не только маршрутизацию пакетов, но и ответы DNS), что исключает обслуживание DHCP с нашей стороны. Приведенная выше конфигурация позволяет нам использовать vpnclient server [Production site VPN target] [DR site VPN target] без проблем.
Это обходной путь из предыдущей конфигурации, в которой мы вручную отказались от туннелей, настроив DNS, назначенный DHCP. Супер высокое касание и медленное.
На Fortigate была служба балансировки нагрузки, которая создавала VIP и проводила некоторые проверки подключения к DNS-серверам.
Помимо творческого решения, такого как балансировка нагрузки, как мы можем настроить клиентов, которым назначен DHCP нашими полевыми ASA, для отправки запросов DNS на определенные серверы?
[Примечание]
Просто подумал, что мы могли бы использовать балансировщики нагрузки на каждом сайте, которые обслуживают DNS через один и тот же VIP (доступный только для клиентов VPN). Но это сложное серверное решение для возможной проблемы на стороне клиента.
В вашей ситуации я бы просто использовал ASA в качестве DHCP, который выдает свой внутренний IP-адрес в качестве DNS-сервера, использовал DNS-прокси для туннельного DNS и имел несколько общедоступных DNS, перечисленных в конфигурации.
НАПРИМЕР. (эти команды работают на оборудовании c3900 ios15.1, возможно, вам придется внести изменения для совместимости с программным обеспечением ASA)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
это работает для небольших офисов, я использую его для 100 пользователей или меньше, но его можно масштабировать, если у вас есть плунжер.
Запуск IP-SLA в туннеле, чтобы знать, когда он не работает, и использование маршрута по умолчанию для указания на туннель, сделает переключение более быстрым и надежным. Просто убедитесь, что у вас есть статический маршрут, определенный для указания на локальный внешний интерфейс, или когда туннель выйдет из строя, asa удалит маршрут по умолчанию, и тогда все может просто перестать работать.