我们有几个ASA 5505部署。 目前,我们有一个设置,其中本地ASA正在回答DHCP查询,并且正在configuration具有两个DNS服务器的客户端:我们的DR站点DNS服务器(我们使用AD)和一个公共DNS。
我们需要让客户端在VPN隧道closures的时候访问“互联网”(这不仅意味着数据包路由,而且还包括DNS答案),这就排除了从我们这边提供DHCP的服务。 上面的configuration允许我们使用vpnclient server [Production site VPN target] [DR site VPN target]没有问题。
这是从以前的configuration,我们通过调整DHCP分配的DNS手动故障隧道的解决方法。 超高的触摸和缓慢。
在Fortigate上,有一个负载均衡服务可以创build一个VIP,并且有一些检查来validation与DNS服务器的连接。
除了负载平衡之类的创造性解决scheme外,我们如何configuration由我们的现场ASA分配DHCP的客户端,以便将DNS查找发送到特定的服务器?
[边注]
只是认为我们可以在每个通过同一个VIP服务DNS的站点使用负载平衡器(只能由VPN客户端访问)。 但是,这是一个复杂的服务器端解决scheme,可能会出现客户端问题。
在你的情况下,我只是简单地使用ASA作为一个DHCP来传递它的内部IP作为DNS服务器,使用DNS代理到隧道DNS并在configuration中列出几个公共DNS。
例如。 (这些命令在c3900设备ios15.1上工作,您可能必须进行更改以与ASA软件兼容)
service dhcp ip domain nameserver "tunnel dns" ip domain nameserver 8.8.8.8 ; google dns used for simplicity ip domain nameserver 8.8.4.4 ip dhcp pool NET-POOL network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.1.1 domain-name mydomain.net ; not required but helpful lease 9 ip dhcp excluded-address 192.168.1.1
这适用于小型办公室,我使用100个或更less的用户,但如果你有内存,可以缩放。
在隧道上运行一个ip-sla,知道什么时候closures,并使用默认路由指向隧道将使切换更快,更可靠。 只要确保你有一个静态路由被定义为指向本地外部接口,或者隧道closures时,asa将删除默认路由,然后事情就可以停止工作。