*更新,事实certificate,添加额外NAT排除停止dns篡改被触发,解决问题。
所以我有最后一个悬而未决的问题,我们的VPN设置到我们的办公室。
我可以成功vpn并在外部接口分配一个IP 192.168.7.1。 然后,我可以ssh到任何我们的机器在192.168.xx范围内没有任何问题。 但是,当我对我们的dmz托pipe的机器上的一个dns请求到192.168.1.1的内部dns服务器时,dns应答被修改为给我91.xxx范围上的公共ip,而不是10.1.16.34 ip。
10.1.0.x
192.168.xx dmz 91.xxx
[在|里面 思科asa 5510 | 外]
|
|分配了192.168.7.x
|
|
[思科VPN客户端]
这里是我们的IOSconfiguration相关的线路。
access-list inside_nat0 extended permit ip 192.168.0.0 255.255.240.0 10.1.16.0 255.255.252.0 access-list inside_nat0 extended permit ip 192.168.7.0 255.255.255.224 192.168.0.0 255.255.240.0 access-list inside_nat0 extended permit ip 192.168.0.0 255.255.240.0 192.168.7.0 255.255.255.224 / /添加到修复 access-list outside_nat0 extended permit ip 192.168.7.0 255.255.255.224 10.1.16.0 255.255.252.0 access-list outside_nat0 extended permit ip 10.1.16.0 255.255.252.0 192.168.7.0 255.255.255.224 NAT(内部)0访问列表inside_nat0 nat(内部)1 0.0.0.0 0.0.0.0 nat(外部)1 192.168.7.0 255.255.255.224 nat(dmz)2 0.0.0.0 0.0.0.0 / /添加到修复 NAT(外部)0访问列表outside_nat0 nat(dmz)0 access-list outside_nat0 static(dmz,outside)91.xxx 10.1.16.34 netmask 255.255.255.255 dns tcp 1000 100 udp 1000
! class-map inspection_default 匹配默认检查stream量 ! ! 策略映射types检查dns preset_dns_map 参数 消息长度最大512 policy-map global_policy class inspection_default 检查dns preset_dns_map 检查ftp 检查h323 h225 检查h323 ras 检查rsh 检查rtsp 检查esmtp 检查sqlnet 检查瘦 检查sunrpc 检查xdmcp 检查一下 检查netbios 检查tftp 检查icmp ! 服务策略global_policy全局
那么,外部接口上的客户端–DNS篡改的行为是完全按照预期的,真的。
你真的需要在这个翻译启用DNS修复? 你是否使用内部地址服务于内部服务器的公共DNS,并且在出门的时候只是嘲笑那个地址?
如果没有,那么只要撕掉你的static线的dns ,你就全部设置。
如果是这样的话,可以考虑build立一个只服务于公共DNS的DNS服务器。
如果你打算继续保持打开状态,那么我可以想到一个丑陋的解决办法:两个策略静态转换 – 一个用于目的地是内部的,禁用了DNS修改,然后是一个启用了修复的低优先级转换。 就像我说的:丑。
原来,只是通过增加额外的nat排除,这禁用了dns的篡改。 本质上,来自vpn ip池外部接口的所有stream量都需要被标识为no-nat,才能正确地与dmz和内部接口通信。