我们使用Cisco ASA 5505作为我们networking上的防火墙和IPSec VPN端点。
我们使用拆分隧道来减less我们的互联网链接上的负载。 换句话说,当某人连接到VPN时,他们的DNS查询将通过我们的内部DNS服务器,并且通过隧道发送parsing为10.0.0.0/8的主机的所有stream量。 其他stream量通过其本地互联网网关发送。 这对IPv4stream量很有效。
我现在已经推出了IPv6连接(一个SixXS 6in4隧道)到局域网上的所有服务器和桌面。 我们的用户数量(有希望增长)在家里有自己的IPv6连接。
当我将内部服务器的IPv6地址添加到我们的内部Bind9 DNS时,一些外部用户无法正常连接到内部服务器。 我假设他们从我们的DNS及其应用程序获得AAAAlogging,并且具有对AAAA地址的偏好,试图通过IPv6直接连接到服务器,而不是使用IPSec隧道。 他们遇到我们的防火墙,最终超时并通过IPv4连接。 作为回应,我从DNS中删除了AAAAlogging。
根据这个论坛post ,Cisco IPSec客户端不支持IPv6,所以我不得不花费昂贵的升级到AnyConnect。
我想到的解决方法:
请问您的想法? 有没有一种解决scheme可以让我继续使用IPSec VPN,还可以在服务器上通告IPv6?
虽然这不是最优雅的解决scheme,但是您可以使用BIND拆分视图在DNS级别解决此问题,该视图允许您向不同的客户端显示不同的DNS信息。 由于您的VPN客户端整齐地分离,过滤将是简单的。 设置您的区域文件,以便您不必为每个服务器创build多个条目需要一点艺术,但不是太困难。 看到这个例子 ,或者BIND9文档。