форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"cisco 2811+ asa 5510 + DNS сервер"		+/–
Сообщение от morozz (ok) on 11-Ноя-09, 17:06
Есть такая ситуация. Имеется cisco 2811 к которой подключено 2 провайдера. Соответственно там имеем route map'ы. За ней стоит asa 5510 и далее от нее линки идут по подсетям (организация большая, несколько зданий). Есть DNS-сервер который должен обслуживать внешнюю зону организации. Проблема: снаружи dns сервера не видно. сеть организована так: 100.100.100.0 (реальная подсеть) <= cisco 2811 => 10.0.1.0/24 (IP из этой подсети натятся в реальные IP адреса) <= asa 5510 => 192.168.0.0/24 (эти IP натятся в ip из подсети 10.0.1.0/24) собственно имеем ситуацию когда 192.168.0.2 натится в 10.0.1.3 а 10.0.1.3 натится в 100.100.100.2 На 192.168.0.2 поднят DNS сервер, HTTP сервер и т.п. Проблема в том что снаружи видно все кроме DNS. Работает hhtp, сервер пингуется, управляется удаленно но DNS не работает. Конфиги обоих цисок писать тут долго, может кто нибудь сталкивался с подобной ситуацией нерабочего DNS за cisco NAT? Заранее спасибо.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "cisco 2811+ asa 5510 + DNS сервер"		+/–
Сообщение от morozz (ok) on 11-Ноя-09, 18:18
update: все таки приведу конфиг 2811, потому как пробовал сервер ставить  минуя ASA 5510 сразу перед 2811 - эффект тот же, все работает кроме DNS. Тут немного конкретнее объясню чем в первом сообщении: не виден снаружи dns, расположенный на хосте 10.0.1.14. Внутри локаьной сети все работает. Причем ситуация забавная - при правильном запросе к DNS серверу из интернета nslookup говорит что dns reauest timed out. Если написать заведомо какую нибудь тарабарщину типа uidkkdfj то сервер отвечает что домен не найден. То есть не проходит правильный dns пакет. Current configuration : 6256 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname 2811 ! boot-start-marker boot-end-marker ! logging message-counter syslog logging buffered 4096 notifications ! no aaa new-model ! ! ! dot11 syslog ip source-route ! ! ip cef ! ! no ip domain lookup no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! voice-card 0 ! ! ! username xxxx privilege 15 password 0 xxxx ! ! ! archive log config   hidekeys ! ! ! track 1 ip sla 1 reachability ! track 2 ip sla 2 reachability ! ! ! ! interface FastEthernet0/0 description ***To 1 ISP*** ip address 100.100.100.10 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description ***To 2 ISP*** ip address 90.90.90.2 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 description ***To LAN*** ip address 10.0.1.2 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map RM_4All_users duplex auto speed auto ! ip local policy route-map RM_local-map ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 100.100.100.11 track 1 no ip http server no ip http secure-server ! ! ip nat translation timeout 18000 ip nat translation tcp-timeout 18000 ip nat inside source route-map RM_4NAT1_dyn interface FastEthernet0/0 overload ip nat inside source route-map RM_4NAT2_dyn interface FastEthernet0/1 overload ip nat inside source static 10.0.1.14 100.100.100.112 route-map RM_4NAT1 extendable ! ip access-list extended 1_ping remark ***Ping packets to 1 router*** permit icmp any host xxx.xxx.xxx.xxx echo ip access-list extended 1_users_static remark ***Static users going via 1*** permit ip host 10.0.1.14 any ip access-list extended Admin remark ***Users going via 1 and secondary via 2*** permit ip host 10.0.1.10 any ip access-list extended 2_ping remark ***Ping packets to 2 router*** permit icmp any host xxx.xxx.xxx.1 echo ip access-list extended 2_users permit ip host 10.0.1.101 any permit ip host 10.0.1.100 any ip access-list extended 2_users_static permit ip host 10.0.1.101 any permit ip host 10.0.1.10 any permit ip host 10.0.1.100 any ! ip sla 1 icmp-echo xxx.xxx.xxx.xxx source-interface FastEthernet0/0 timeout 1000 threshold 2 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo xxx.xxx.xxx.xxx source-interface FastEthernet0/1 timeout 1000 threshold 2 frequency 3 ip sla schedule 2 life forever start-time now ! ! ! ! route-map RM_4All_users permit 10 match ip address 2_users set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 2 set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 1 ! route-map RM_4All_users permit 20 match ip address Admin set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 1 set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 2 ! route-map RM_4NAT2 permit 10 match ip address 2_users_static match interface FastEthernet0/1 ! route-map RM_4NAT1 permit 10 match ip address 1_users_static match interface FastEthernet0/0 ! route-map RM_4NAT2_dyn permit 10 match interface FastEthernet0/1 ! route-map RM_4NAT1_dyn permit 10 match interface FastEthernet0/0 ! route-map RM_local-map permit 10 match ip address 1_ping set ip next-hop xxx.xxx.xxx.xxx ! route-map RM_local-map permit 20 match ip address 2_ping set ip next-hop xxx.xxx.xxx.xxx ! ! ! ! control-plane ! ! ! ccm-manager fax protocol cisco ! mgcp fax t38 ecm ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login local line vty 5 15 login local ! scheduler allocate 20000 1000 end
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема