Требуется решить очень простую на первый взгляд задачу.Надо все DNS запросы (tcp 53 udp 53), которые приходят на CISCO из outside перенаправлять
на другой DNS сервер, который тоже находится outside. Иными словами, это даст возможность одному DNS серверу отвечать с разных ип.Подскажите пожалуйста, как такое можно реализовать? Через nat не выходит.
>Требуется решить очень простую на первый взгляд задачу.
>
>Надо все DNS запросы (tcp 53 udp 53), которые приходят на CISCO
>из outside перенаправлять
>на другой DNS сервер, который тоже находится outside. Иными словами, это даст
>возможность одному DNS серверу отвечать с разных ип.
>
>Подскажите пожалуйста, как такое можно реализовать? Через nat не выходит.route map
>>Требуется решить очень простую на первый взгляд задачу.
>>
>>Надо все DNS запросы (tcp 53 udp 53), которые приходят на CISCO
>>из outside перенаправлять
>>на другой DNS сервер, который тоже находится outside. Иными словами, это даст
>>возможность одному DNS серверу отвечать с разных ип.
>>
>>Подскажите пожалуйста, как такое можно реализовать? Через nat не выходит.
>
>route mapВы полагаете, что хост с адресом 11.22.33.44 (второй DNS) будет очень рад получению пакетов, в DST ADDR у которых стоит 44.33.22.11 (первый DNS)?
Если да, то Вы сильно ошибаетесь.
>>>Требуется решить очень простую на первый взгляд задачу.
>>>
>>>Надо все DNS запросы (tcp 53 udp 53), которые приходят на CISCO
>>>из outside перенаправлять
>>>на другой DNS сервер, который тоже находится outside. Иными словами, это даст
>>>возможность одному DNS серверу отвечать с разных ип.
>>>
>>>Подскажите пожалуйста, как такое можно реализовать? Через nat не выходит.
>>
>>route map
>
>Вы полагаете, что хост с адресом 11.22.33.44 (второй DNS) будет очень рад
>получению пакетов, в DST ADDR у которых стоит 44.33.22.11 (первый DNS)?
>
>Если да, то Вы сильно ошибаетесь.DNS имеется только один. Он запрятан очень далеко - за циской и netscreenом :)
В интернете он виден только под одним ip - <real_ip> 53. Это внешнее ИП циски. Сам DNS об этом ИП ничего не знает, все натится через циску и нетскрин, и все запросы для DNS приходят всегда от локального ИП нетскрина, и DST ADDR всегда один и той же - локальный.Но вопрос немного иной - заставить CISCO делать outside-to-outside redirection - см. выше.
>>>>Требуется решить очень простую на первый взгляд задачу.
>>>>
>>>>Надо все DNS запросы (tcp 53 udp 53), которые приходят на CISCO
>>>>из outside перенаправлять
>>>>на другой DNS сервер, который тоже находится outside. Иными словами, это даст
>>>>возможность одному DNS серверу отвечать с разных ип.
>>>>
>>>>Подскажите пожалуйста, как такое можно реализовать? Через nat не выходит.
>>>
>>>route map
>>
>>Вы полагаете, что хост с адресом 11.22.33.44 (второй DNS) будет очень рад
>>получению пакетов, в DST ADDR у которых стоит 44.33.22.11 (первый DNS)?
>>
>>Если да, то Вы сильно ошибаетесь.
>
>DNS имеется только один. Он запрятан очень далеко - за циской и
>netscreenом :)
>В интернете он виден только под одним ip - <real_ip> 53. Это внешнее ИП циски. Сам DNS об этом ИП ничего не знает, все натится через циску и нетскрин, и все запросы для DNS приходят всегда от локального ИП нетскрина, и DST ADDR всегда один и той же - локальный.
>
>Но вопрос немного иной - заставить CISCO делать outside-to-outside redirection - см.
>выше.Я что-то запутался. Во всяком случае, вы хотите, чтобы пакеты, приходящие на <real_ip> 53 форвардились на <another_real_ip> 53 ? Или я опять понял неправильно? Если правильно, то форвардиться они будут. Но тот хост, который <another_ real_ip> эти пакеты молча пристрелит, даже в случае, если они до него дойдут. А они могут и вовсе до него не дойти.
>Я что-то запутался. Во всяком случае, вы хотите, чтобы пакеты, приходящие на <real_ip> 53 форвардились на <another_real_ip> 53 ?Да, именно. Чтобы пакеты приходящие на <real_ip_1> <port_1> натились на <real_ip_2> <port_2>. Скажите пожалуйста как это сделать?
все остальное не интересует.
>
>>Я что-то запутался. Во всяком случае, вы хотите, чтобы пакеты, приходящие на <real_ip> 53 форвардились на <another_real_ip> 53 ?
>
>Да, именно. Чтобы пакеты приходящие на <real_ip_1> <port_1> натились на <real_ip_2> <port_2>. Скажите пожалуйста как это сделать?
>
>все остальное не интересует.Полиси роутинг (route map). Но, уверяю вас, работать это не будет. Попробуйте, впрочем.
>
>>Я что-то запутался. Во всяком случае, вы хотите, чтобы пакеты, приходящие на <real_ip> 53 форвардились на <another_real_ip> 53 ?
>
>Да, именно. Чтобы пакеты приходящие на <real_ip_1> <port_1> натились на <real_ip_2> <port_2>. Скажите пожалуйста как это сделать?
>
>все остальное не интересует.Не заметил слово "натились", извините. Да, в таком случае работать будет. Конфиг рисовать лень, почитайте на сайте cisco про NAT и PBR. Обязательно обратите внимание на порядок, в каком пакеты натятся, а в каком - проходят PBR, потому что я как-то этого совершенно не помню, а это важно.
>Подскажите пожалуйста, как такое можно реализовать? Через nat не выходит.только через нат
только нужно прогонять через 2 интерфейса
то есть впускать на лупбек, на нем ставить ip nat inside
и выпускать обратно через ip nat outside
только натить придется и соурц и дестинейшн
>>Подскажите пожалуйста, как такое можно реализовать? Через nat не выходит.
>
>только через нат
>только нужно прогонять через 2 интерфейса
>то есть впускать на лупбек, на нем ставить ip nat inside
>и выпускать обратно через ip nat outside
>только натить придется и соурц и дестинейшн
Спасибо Влад.К сожалению среализацией я немного запутался...
CISCO имеет внутренний Ethernet интерфейс 192.168.1.1 и внешний <real_ip>.
DNS висит на другом хосте в интернете под <dns_ip>прописал в нат:
1.) ip nat inside source static tcp 192.168.1.1 53 <real_ip> 53
2.) ip nat outside source static tcp <dns_ip> 53 192.168.1.1 53
кажется этого мало