Modificação de resposta / manipulação de DNS no Cisco 1900 series ISR

Temos um Cisco 1900 ISR e configuramos recentemente um servidor da web em ourdomain.com. O site funciona perfeitamente, no entanto, a partir da LAN, não podemos usar ourdomain.compara acessar o site, mas todos precisam usar o endereço IP local 10.1.1.xxx.

Eu entendi que isso é uma limitação para os roteadores Cisco. Meu extenso Google pesquisou o tratamento de DNS (ou modificação de resposta de DNS)

Eu tentei várias vezes configurar o DNS médico, mas simplesmente não consigo fazê-lo funcionar, acredito que porque o nosso ISR não tem a capacidade de executar os comandos que estou tentando:

object network our_server
host 10.1.1.xx
nat (inside,outside) static 50.100.100.10 dns

Existe outra maneira de obter acesso ao DNS ou acessar nosso servidor local usando o endereço externo?

Nossa configuração de rede é a seguinte: Modem > ISR > Switch > End Users

Nosso ISR está em execução: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)

Eu tentei muitas vezes configurar o DNS médico, mas simplesmente não consigo fazê-lo funcionar, acredito que porque o nosso ISR não tem a capacidade de executar os comandos que estou tentando

Seu primeiro problema é que você está usando comandos do Cisco ASA em um roteador Cisco; você também está assumindo que este é um problema com seu roteador Cisco.

Na realidade, esse é um problema de DNS que pode ser resolvido com seu roteador Cisco; no entanto, é normalmente resolvido com um DNS dividido

Existe outra maneira de obter acesso ao DNS ou acessar nosso servidor local usando o endereço externo?

Sim ... Cisco chama de tradução de endereço de rede (ou nat) ... Vamos supor que você tenha essa topologia ...

                               +------------+
                        Fa0/0  | Cisco ISR  | Fa0/1
LAN w/ Webhost-----------------|            |-------------------
                        inside |            | outside (To ISP)
                   10.1.1.0/24 +------------+ 192.0.2.1
                                              192.0.2.2 (static translation for the webhost)

interface Fa0/0
 ip address 10.1.1.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
interface Fa0/1
 ip address 192.0.2.1 255.255.255.0
 no ip proxy-arp
 ip nat outside
!
ip nat inside source list INSIDE_ADDRS interface FastEthernet0/1 overload
ip nat inside source static 10.1.1.50 192.0.2.2
!
ip access-list extended INSIDE_ADDRS
 permit ip 10.1.1.0 0.0.0.255 any
 deny   ip any any
!
ip route 0.0.0.0 0.0.0.0 192.0.2.254

Suponha que seu endereço Webhost interno seja 10.1.1.50 e você esteja usando 192.0.2.2 (um segundo endereço fornecido pelo provedor de serviços de Internet) para seu registro A público. Portanto, quando você resolve "ourdomain.com" no resolvedor do Google, obtém ...

[mpenning@Bucksnort ~]$ dig +short @8.8.8.8 ourdomain.com
10.1.1.50
[mpenning@Bucksnort ~]$

Supondo que o Bucksnort seja 10.1.1.12, se você executar debug ip natno seu roteador durante uma consulta DNS, verá ...

Sep 23 23:12:29.132 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.132 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.136 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [628]
Sep 23 23:12:29.140 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.140 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.140 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [629]
Sep 23 23:12:29.144 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.148 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.148 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [630]