DNS doctoring, alexbuu, 09-Мрт-16, 17:13 [смотреть все]Добрый день! Слышал у ASA есть функционал - DNS doctoring. Суть его в том, что она перехватывает DNS запросы и отдает ответы хостам ,минуя DNS-server.Задача такая, есть cisco1921. Маршрут по умолчанию указан на провайдера с внешним интернетом. Так же есть GRE тунель, за ним куча локальных обьектов. Хостам раздаю по DHCP 192.168.18.0 /24 ,так же раздаю DNS сервера 10.10.10.3 10.10.10.4(они за тунелем) конфиг ip dhcp pool LAN network 192.168.18.0 255.255.255.0 default-router 192.168.18.254 dns-server 10.10.0.3 10.10.0.4 192.168.205.5 8.8.8.8 8.8.4.4 Есть WEBсервер,доступный локально, за тунелем GRE , а так же по внешнему адресу через провайдера. К нему хосты обращаются как к server.com, DNS-сервера резолвят это имя в 172.16.0.1. Эта сеть находиться за тунелем.
Задача состоит в том,чтоб хосты резолвили имя server.com в внешний адрес и шли по дефолтному маршруту через провайдера, а не в через GRE по локальному 172.16.0.1. Помогите плз, как это можно реализовать на ISR роутере.. Какой-нибудь аналог hosts в винде(хосты сперва обращаются в локальную таблицу hosts, а потом только к DNS серверам)
|
- DNS doctoring, Stanislaff, 01:01 , 11-Мрт-16 (1)
>[оверквотинг удален] > Есть WEBсервер,доступный локально, за тунелем GRE , а так же > по внешнему адресу через провайдера. К нему хосты обращаются как к > server.com, DNS-сервера резолвят это имя в 172.16.0.1. Эта сеть находиться за > тунелем. > Задача состоит в том,чтоб хосты резолвили имя server.com в внешний адрес и > шли по дефолтному маршруту через провайдера, а не в через GRE > по локальному 172.16.0.1. > Помогите плз, как это можно реализовать на ISR роутере.. > Какой-нибудь аналог hosts в винде(хосты сперва обращаются в локальную таблицу hosts, а > потом только к DNS серверам) Не совсем понял, зачем Вам докторинг и у Вас не асашка) dns-server 8.8.8.8 8.8.4.4 -- так Вы пойдёте через мир или назнаяте на Ваших DNS серверах белый адрес этого сервера.
- DNS doctoring, ShyLion, 09:45 , 11-Мрт-16 (2)
>>[оверквотинг удален] ТС хочет, чтобы роутер перехватывал DNS запросы до определенного имени и отвечал отличным от голбального DNS адресом хоста server.com. DNS сервис в роутере в общем-то есть, но: 1. он не перехватывает запросы, он ресолвит когда его просят напрямую 2. он там для галочки и при мало-мальской нагрузке грузит проц по самое негорюй и роутер превращается в тыкву
Перехватывать и перенаправлять L4 траффик умеют роутеры с функционалом ISG. На ISR такого нет, максимум можно полиси-роутингом перехватывать DNS траффик и роутить его на локальный сервер, где уже будет некий прозрачный DNS, умеющий его обрабатывать. По хорошему такая задача решается установкой обычного локального DNS сервера, в котором вручную добавлена зона server.com, с нужными вам записями. Все ПК в локалке настраиваются на использование этого DNS. Сервером может быть как виндовый родной DNS, так и bind под любую платформу, в том числе и под win32.
- DNS doctoring, Stanislaff, 14:55 , 11-Мрт-16 (3)
>[оверквотинг удален] > самое негорюй и роутер превращается в тыкву > Перехватывать и перенаправлять L4 траффик умеют роутеры с функционалом ISG. На ISR > такого нет, максимум можно полиси-роутингом перехватывать DNS траффик и роутить его > на локальный сервер, где уже будет некий прозрачный DNS, умеющий его > обрабатывать. > По хорошему такая задача решается установкой обычного локального DNS сервера, в котором > вручную добавлена зона server.com, с нужными вам записями. Все ПК в > локалке настраиваются на использование этого DNS. > Сервером может быть как виндовый родной DNS, так и bind под любую > платформу, в том числе и под win32.Есть вариант написать маршрутную карту и нат к ней отдельный, чтобы при виде пакета в сторону туннеля, нинтерфейс его подбирал и натил в нужную сторону принудительно. НО, учитывая постановку вопроса, от ТС, для него это не пойдёт.
- DNS doctoring, ShyLion, 13:03 , 14-Мрт-16 (4)
в контролируемой локалке просто свой ДНС делается и вопрос закрыт
|