別のトンネルを使用するときにDHCPに別のDNSサーバーアドレスを配布させることは可能ですか?
いくつかのASA 5505が展開されています。現在、ローカルASAがDHCPクエリに応答し、DRサイトDNSサーバー(ADを使用)とパブリックDNSの2つのDNSサーバーでクライアントを構成しているセットアップがあります。
VPNトンネルがダウンしているときにクライアントに「インターネット」へのアクセスを許可する必要があります(これは、パケットルーティングだけでなく、DNS応答も意味します)。これにより、DHCPの提供が除外されます。上記の設定により、vpnclient server [Production site VPN target] [DR site VPN target]を問題なく使用できます。
これは、DHCPによって割り当てられたDNSを調整することにより、トンネルを手動でフェイルオーバーした以前の構成からの回避策です。超ハイタッチで遅い。
Fortigateには、VIPを作成し、DNSサーバーへの接続を確認するためのいくつかのチェックを行う負荷分散サービスがありました。
ロードバランシングのような創造的なソリューションを超えて、特定のサーバにDNSルックアップを送信するようにフィールドASAによってDHCPが割り当てられたクライアントをどのように設定できますか。
[サイドノート]
同じVIP(VPNクライアントからのみアクセス可能)を介してDNSを提供する各サイトでロードバランサーを使用する可能性があると考えただけです。しかし、これは可能なクライアント側の複雑なサーバー側ソリューションです。問題。
あなたの状況では、ASAをDHCPとして使用し、内部IPをDNSサーバーとして渡し、DNSプロキシをトンネルDNSに使用し、いくつかのパブリックDNSを構成にリストします。
例えば。 (これらのコマンドはc3900機器ios15.1で機能します。ASAソフトウェアと互換性を持たせるために、変更を加える必要がある場合があります)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
これは小規模なオフィスで機能します。私は100ユーザー以下で使用していますが、RAMがあれば拡張できます。
トンネルでip-slaを実行してダウンしたときを認識し、デフォルトルートを使用してトンネルを指すと、スイッチオーバーがより高速で信頼性の高いものになります。ローカルの外部インターフェイスを指すように静的ルートが定義されていることを確認してください。そうしないと、トンネルがダウンすると、asaがデフォルトルートを削除し、動作が停止する可能性があります。