DNS-Prüfung / Antwortänderung auf ISR der Cisco 1900-Serie

8

Wir haben einen Cisco 1900 ISR und haben kürzlich einen Webserver unter eingerichtet ourdomain.com. Die Site funktioniert einwandfrei, jedoch können wir über das LAN nicht ourdomain.comauf die Site zugreifen, sondern jeder muss die lokale IP-Adresse verwenden 10.1.1.xxx.

Ich habe verstanden, dass dies eine Einschränkung bei Cisco-Routern ist. Mein umfangreiches Googeln hat DNS-Doctoring (oder DNS-Antwortänderung) aufgetaucht.

Ich habe viele Male versucht, DNS-Doctoring einzurichten, aber ich kann es einfach nicht zum Laufen bringen. Ich glaube, weil unser ISR nicht in der Lage ist, die Befehle auszuführen, die ich versuche:

object network our_server
host 10.1.1.xx
nat (inside,outside) static 50.100.100.10 dns

Gibt es eine andere Möglichkeit, DNS-Doctoring zu erreichen oder auf andere Weise über die externe Adresse auf unseren lokalen Server zuzugreifen?

Unsere Netzwerkkonfiguration lautet wie folgt: Modem > ISR > Switch > End Users

Unser ISR läuft: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)

cisco  cisco-ios-15  dns 
OrangeBox
quelle
Was verwenden Sie für einen DNS-Server im 10.1.1.X-Netzwerk?
Brett Lykins
Alle Maschinen zeigen entweder manuell auf Google DNS oder auf den ISR, der auf Google zeigt :)
OrangeBox
Bietet Ihnen dieser ISR jetzt Internetzugang? Wenn ja, zeigen Sie uns bitte die Schnittstelle und die NAT-Konfiguration. Wenn nicht, was verwenden Sie für einen Internet-Router / eine Internet-Firewall?
Mike Pennington

Antworten:

7

Ich habe viele Male versucht, DNS-Doctoring einzurichten, aber ich kann es einfach nicht zum Laufen bringen. Ich glaube, weil unser ISR nicht in der Lage ist, die von mir versuchten Befehle auszuführen

Ihr erstes Problem besteht darin, dass Sie Cisco ASA-Befehle auf einem Cisco-Router verwenden. Sie gehen auch davon aus, dass dies ein Problem mit Ihrem Cisco-Router ist.

In Wirklichkeit ist dies ein DNS-Problem, das mit Ihrem Cisco-Router behoben werden kann. Es wird jedoch normalerweise mit einem Split-DNS gelöst

Gibt es eine andere Möglichkeit, DNS-Doctoring zu erreichen oder auf andere Weise über die externe Adresse auf unseren lokalen Server zuzugreifen?

Ja ... Cisco nennt es Netzwerkadressübersetzung (oder nat) ... Nehmen wir an, Sie haben diese Topologie ...

                               +------------+
                        Fa0/0  | Cisco ISR  | Fa0/1
LAN w/ Webhost-----------------|            |-------------------
                        inside |            | outside (To ISP)
                   10.1.1.0/24 +------------+ 192.0.2.1
                                              192.0.2.2 (static translation for the webhost)

interface Fa0/0
 ip address 10.1.1.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
interface Fa0/1
 ip address 192.0.2.1 255.255.255.0
 no ip proxy-arp
 ip nat outside
!
ip nat inside source list INSIDE_ADDRS interface FastEthernet0/1 overload
ip nat inside source static 10.1.1.50 192.0.2.2
!
ip access-list extended INSIDE_ADDRS
 permit ip 10.1.1.0 0.0.0.255 any
 deny   ip any any
!
ip route 0.0.0.0 0.0.0.0 192.0.2.254

Angenommen, Ihre interne Webhost-Adresse lautet 10.1.1.50 und Sie verwenden 192.0.2.2 (eine zweite von Ihrem ISP angegebene Adresse) für Ihren öffentlichen A-Datensatz. Wenn Sie also "ourdomain.com" aus dem Google-Resolver auflösen, erhalten Sie ...

[mpenning@Bucksnort ~]$ dig +short @8.8.8.8 ourdomain.com
10.1.1.50
[mpenning@Bucksnort ~]$

Angenommen, Bucksnort ist 10.1.1.12. Wenn Sie debug ip natwährend einer DNS-Abfrage auf Ihrem Router arbeiten, sehen Sie ...

Sep 23 23:12:29.132 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.132 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.136 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [628]
Sep 23 23:12:29.140 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.140 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.140 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [629]
Sep 23 23:12:29.144 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.148 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.148 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [630]
Mike Pennington
quelle
Hallo Mike, vielen Dank für deine Hilfe. Mit Ihrer Antwort konnte ich das gewünschte Ergebnis erzielen.
Sehr
@OrangeBox, du bist herzlich willkommen ... viel Glück bei deinen Bemühungen.
Mike Pennington
Hallo Mike, was ist, wenn dieser öffentliche Server die öffentliche IP-Schnittstelle als einziges verfügbares Unternehmen verwendet? Wie können Sie diese Anfrage jetzt lösen?
Laf
@laf, du fragst nach etwas, das ich im Labor getestet habe, als ich die Antwort geschrieben habe. Es ist fast ein Monat vergangen, daher ist mein Gedächtnis verschwommen, aber ich glaube nicht, dass ich in diesem Szenario eine gute NAT-Antwort gefunden habe ... Vielleicht ist das Beste, was Sie tun können, ein Split-DNS entweder auf einem Linux-Server oder auf dem Router selbst .
Mike Pennington
Ok, ich habe dich gefragt, weil ich dieses Szenario viele Male ohne NAT_solving_success getroffen habe. Hier war die Konfiguration, um mich klar zu machen: IP-Adresse innerhalb der Quellliste INSIDE_ADDRS-Schnittstelle FastEthernet0 / 1 Überladung IP-Adresse innerhalb der Quelle statisch TCP 10.1.1.50 80 Schnittstelle 80
laf
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.