我们有一个ASA5505,它是我们的networking的骨干,控制DHCP / NAT规则/防火墙等。
我们遇到了VPN用户能够访问本地系统的问题。
我们可以ping通IP地址和FQDN(server.domain.local),但是无法通过服务器名称ping或访问系统。 (\服务器为例)
我已经完成了所有可以通过服务器想到的configuration,但无法解决DNSparsing问题。
我认为ASA 5505可能会根据政策规定(asdm)阻止它。
有没有人有任何想法?
提前致谢!
这些名称是通过NetBIOS名称parsing还是DNSparsing?
如果是NetBIOS,则设置DNS; 它正在使用的广播stream量不会穿越VPN隧道。
如果是DNS,则只需在客户端VPN策略中设置一个search后缀,并将其发送到连接的客户端。
可能不是ASA阻止本身的问题 – 而是一个DNS 101问题。 通常, Windows中的networking接口应该具有特定于连接的DNS后缀。 这不是必需的,但是如果存在的话将被添加到DNS后缀search列表中。
networking接口连接特定的DNS后缀是由pipe理员学习或静态分配的。 在DHCP的情况下,DHCP服务器返回(选项15和/或选项119)值,DHCP客户端使用。 在静态分配的情况下 – 后缀可以静态分配。
在远程访问VPN用户的情况下,pipe理员通常必须在VPN服务器/端点上configuration域名和/或后缀search顺序。 在ASA上,这是在ASA的group-policy策略中为匹配的特定组策略(来自AnyConnect或IPSec)configuration的。
下面的代码片段采用默认组策略( DfltGrpPolicy )并将域名设置为acme.local。 请注意,默认组策略不应该在生产环境中使用(创build一个并不重要)。
group-policy DfltGrpPolicy internal group-policy DfltGrpPolicy attributes dns-server value 10.0.0.10 10.0.0.11 default-domain value acme.local
@SpacemanSpiff
总之,是的。 从ASA 7.0.1开始,缺省情况下启用了sysopt connection permit-vpn全局configuration命令。 该命令允许stream量经过解密的VPN隧道(L2L或RA)旁路接口ACL。 stream量进入VPN隧道(要encryption)仍然首先访问接口ACL。
使用sysopt connection permit-vpn并保持sysopt connection permit-vpn (推荐) – 可以使用vpn-filter命令以正确的模式configuration组策略和用户ACL,从而控制VPNstream量。 但是,如果没有使用vpn-filter (但使用sysopt connection permit-vpn ),则ASA将转发L2L和RA VPNstream量,而不考虑接口ACL。
如果no sysopt connection permit-vpninputno sysopt connection permit-vpn则必须明确允许IKE,ESP(和其他)以及被解密的stream量来允许它。 但是,我(像许多人)发现,将sysopt connection permit-vpn放在适当的位置并且在需要时使用vpn-filter会更简单(同样安全)。