Мы используем Cisco ASA 5505 в качестве межсетевого экрана и конечной точки IPSec VPN в нашей сети.
Мы используем раздельное туннелирование, чтобы снизить нагрузку на нашу интернет-ссылку. Другими словами, когда кто-то подключен к VPN, его DNS-запросы проходят через наш внутренний DNS-сервер, и весь трафик для хостов, которые разрешаются до 10.0.0.0/8, отправляется через туннель. Остальной трафик отправляется через их локальный интернет-шлюз. Это хорошо сработало для трафика IPv4.
Я развернул подключение IPv6 (туннель SixXS 6in4) ко всем серверам и рабочим столам в локальной сети. У большого числа наших пользователей (и мы надеемся, оно растет) есть дома собственные возможности подключения по IPv6.
Когда я добавляю IPv6-адреса наших внутренних серверов к нашему внутреннему Bind9 DNS, некоторые внешние пользователи больше не могут правильно подключаться к внутренним серверам. Я предполагаю, что они получают записи AAAA от нашего DNS, и их приложения, предпочитая адрес AAAA, пытаются подключиться напрямую к серверу через IPv6 вместо использования туннеля IPSec. Они попадают в наш брандмауэр и, в конечном итоге, отключаются и подключаются по IPv4. В ответ я удалил записи AAAA из нашего DNS.
В соответствии с это сообщение на форуме клиент Cisco IPSec не поддерживает IPv6, поэтому мне пришлось бы сделать дорогостоящее обновление до AnyConnect.
Обходной путь, который я придумал:
Ваши мысли, пожалуйста? Есть ли решение, которое позволило бы мне продолжать использовать IPSec VPN, но также рекламировать IPv6 на серверах?
Хотя это не самое элегантное решение, вы можете решить эту проблему на уровне DNS, используя разделенные представления BIND, которые позволяют вам представлять различную информацию DNS разным клиентам. Поскольку ваши клиенты VPN аккуратно разделены, фильтрация будет простой. Настройка файлов зоны так, чтобы вам не приходилось делать несколько записей для каждого сервера, требует небольшого искусства, но это не так уж сложно. Видеть этот пример, или документацию BIND9.