У меня есть следующая настройка:
LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN
Подключение к локальной сети через VPN работает нормально. Я правильно понимаю все данные и могу пинговать любой хост во внутренней сети, используя его IP. Однако я вообще не могу выполнять поиск хостов. Я просмотрел журналы и нашел в журнале брандмауэра этот слепок:
3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371
Порт 53 - это службы DNS, не так ли? Из-за этой записи в журнале я думаю, что проблема в брандмауэре, а не в сервере. Любые идеи? Имейте в виду, что у меня очень мало знаний и опыта работы с этим типом межсетевого экрана, и мой небольшой опыт работы с консолью ASDM GUI, а не с консолью CLI.
У меня такая же проблема с Cisco VPN Client, работающим с USB-модемом GSM. Проблема была решена с помощью следующего предложения в ASA Cisco ASA.
group-policy TestVPN attributes
split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net
Где "dominioprivado1.com dominioprivado1.org dominioprivado1.net" - зоны DNS, которые содержат частные имена серверов.
У меня нет опыта работы с конкретным оборудованием, с которым вы работаете. Однако с openvpn вам необходимо установить мост к сети для работы DNS-запросов. Судя по всему, у вас уже есть настроенная мостовая VPN (то есть IP-адрес вашего клиента находится в том же диапазоне, что и сеть назначения).
Когда вы настраиваете таким образом мостовую сеть, ваш DNS-сервер может по-прежнему быть привязан к исходному интерфейсу Ethernet вместо нового мостового интерфейса.
Если это так, пакеты не будут правильно доставлены маршрутизатором. Заставьте DNS-сервер привязаться к интерфейсу моста или, что еще лучше, к IP-адресу интерфейса моста, чтобы он работал независимо от того, активен VPN или нет.
По моему опыту, это должно работать с готовой конфигурацией ASA. Проверьте любые настройки DHCP на ASA, которые могли бы иметь приоритет над вашими настройками с DHCP-сервера локальной сети.
Линии для поиска: dhcpd domain, dhcpd dns и dhcpd auto_config.
Я использую довольно надежную установку, но в ней ASA выполняет DHCP для локальных клиентов - это означает, что если VPN выйдет из строя, пользователи все равно будут иметь доступ к локальным системам.
1) Ваши клиенты устанавливают туннель напрямую с ASA или с «сервером VPN» на вашей схеме? 2) Предоставляется ли вашим VPN-клиентам тот же диапазон IP-адресов, что и ваша внутренняя сеть, или отдельный диапазон?
Судя по записи в журнале, это звучит так, как будто ваши клиенты устанавливают туннель к ASA и получают подсеть, отличную от внутренней. Если это так, я думаю, вам нужно правило исключения NAT на вашем ASA, чтобы запретить ему пробовать использовать NAT-трафик между вашим внутренним диапазоном IP-адресов и диапазоном IP-адресов VPN. Это сохраняет ваш источник (подсеть VPN) и сети назначения (внутренняя подсеть), поэтому ASA не думает, что ему нужно правило общедоступного / частного NAT для доступа к внутренней сети на основе 2 интерфейсов, через которые проходит трафик. В графическом интерфейсе это находится в разделе: Вкладка «Конфигурация» >> Брандмауэр >> Правила NAT, хотя у меня был смешанный опыт создания подобных правил в графическом интерфейсе - возможно, придется перейти в интерфейс командной строки.