VPN正在工作,除了DNS查找。 防火墙(思科ASA 5505)的问题?

我有以下设置:

LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN 

通过VPN连接到局域网工作正常。 我得到所有的细节正确,我可以ping任何内部networking上的主机使用他们的IP。 但是,我无法做任何主机查找。 我查看了日志,发现这个块在防火墙日志中:

 3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371 

端口53是DNS服务,不是? 由于那个日志条目,我想这个问题是与防火墙,而不是服务器。 有任何想法吗? 请记住,我对这种防火墙的知识和经验知之甚less,我所拥有的一点经验就是使用ASDM GUI控制台,而不是CLI控制台。

1)您的客户是否直接与ASA或图中的“VPN服务器”build立隧道? 2)您的VPN客户端是否被赋予与您的内部networking相同的IP范围或单独的范围?

根据日志条目,这听起来像您的客户正在build立到ASA的隧道,并给予与内部networking不同的子网。 如果是这种情况,我认为你需要在你的ASA上有一个NAT豁免规则,告诉它不要试图在你的内部IP范围和你的VPN IP范围之间进行NAT通信。 这将保留您的源(VPN子网)和目标networking(内部子网),因此ASA不认为需要公共/私有NAT规则来访问基于2个接口的内部networking。 在graphics用户界面下这是在:configuration选项卡>>防火墙>> NAT规则,虽然我有混合的经验,在GUI中这样的规则 – 可能不得不去CLI。

根据我的经验,这应该与ASA的开箱即用configuration一起工作。 检查ASA上的任何DHCP设置,这些设置可能会覆盖LAN DHCP服务器的设置。

要查找的行是dhcpd domaindhcpd dnsdhcpd auto_config

我使用的设置是非常强大的,但有ASA为本地客户端做DHCP – 这意味着如果VPNclosures,用户仍然可以访问本地系统。

我没有与您正在使用的特定硬件的经验。 但是,使用openvpn,您需要连接networking以使dns查询正常工作。 从事物的声音,你已经build立了一个桥接VPN(即您的客户端IP地址是在目标networking的范围相同的范围内)。

当你像这样build立一个桥接networking时,你的dns服务器可能仍然绑定到原来的以太网接口,而不是新的桥接接口。

如果是这样的话,数据包将不能正确地获得路由器。 获取DNS服务器绑定到网桥接口,甚至更好的网桥接口的IP地址,以便它将工作,无论VPN是否激活。

我与使用USB GSM调制解调器的Cisco VPN Client有同样的问题。 使用ASA Cisco ASA中的下一句话解决了该问题。

 group-policy TestVPN attributes split-dns value dominioprivado1.com dominioprivado1.org dominioprivado1.net 

其中“dominioprivado1.com dominioprivado1.org dominioprivado1.net”是包含服务器名称私有的DNS区域。