Modificação de resposta / manipulação de DNS no Cisco 1900 series ISR

8

Temos um Cisco 1900 ISR e configuramos recentemente um servidor da web em ourdomain.com. O site funciona perfeitamente, no entanto, a partir da LAN, não podemos usar ourdomain.compara acessar o site, mas todos precisam usar o endereço IP local 10.1.1.xxx.

Eu entendi que isso é uma limitação para os roteadores Cisco. Meu extenso Google pesquisou o tratamento de DNS (ou modificação de resposta de DNS)

Eu tentei várias vezes configurar o DNS médico, mas simplesmente não consigo fazê-lo funcionar, acredito que porque o nosso ISR não tem a capacidade de executar os comandos que estou tentando:

object network our_server
host 10.1.1.xx
nat (inside,outside) static 50.100.100.10 dns

Existe outra maneira de obter acesso ao DNS ou acessar nosso servidor local usando o endereço externo?

Nossa configuração de rede é a seguinte: Modem > ISR > Switch > End Users

Nosso ISR está em execução: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)

OrangeBox
fonte
O que você está usando para um servidor DNS dentro da rede 10.1.1.X?
Brett Lykins #
Todas as máquinas estão apontando manualmente para o Google DNS ou apontando para o ISR, que está apontando para o Google :)
OrangeBox
Este ISR está fornecendo acesso à Internet para você agora? Nesse caso, mostre-nos a interface e a configuração NAT. Caso contrário, o que você está usando para um roteador / firewall da Internet?
precisa saber é o seguinte

Respostas:

7

Eu tentei muitas vezes configurar o DNS médico, mas simplesmente não consigo fazê-lo funcionar, acredito que porque o nosso ISR não tem a capacidade de executar os comandos que estou tentando

Seu primeiro problema é que você está usando comandos do Cisco ASA em um roteador Cisco; você também está assumindo que este é um problema com seu roteador Cisco.

Na realidade, esse é um problema de DNS que pode ser resolvido com seu roteador Cisco; no entanto, é normalmente resolvido com um DNS dividido

Existe outra maneira de obter acesso ao DNS ou acessar nosso servidor local usando o endereço externo?

Sim ... Cisco chama de tradução de endereço de rede (ou nat) ... Vamos supor que você tenha essa topologia ...

                               +------------+
                        Fa0/0  | Cisco ISR  | Fa0/1
LAN w/ Webhost-----------------|            |-------------------
                        inside |            | outside (To ISP)
                   10.1.1.0/24 +------------+ 192.0.2.1
                                              192.0.2.2 (static translation for the webhost)

interface Fa0/0
 ip address 10.1.1.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
interface Fa0/1
 ip address 192.0.2.1 255.255.255.0
 no ip proxy-arp
 ip nat outside
!
ip nat inside source list INSIDE_ADDRS interface FastEthernet0/1 overload
ip nat inside source static 10.1.1.50 192.0.2.2
!
ip access-list extended INSIDE_ADDRS
 permit ip 10.1.1.0 0.0.0.255 any
 deny   ip any any
!
ip route 0.0.0.0 0.0.0.0 192.0.2.254

Suponha que seu endereço Webhost interno seja 10.1.1.50 e você esteja usando 192.0.2.2 (um segundo endereço fornecido pelo provedor de serviços de Internet) para seu registro A público. Portanto, quando você resolve "ourdomain.com" no resolvedor do Google, obtém ...

[mpenning@Bucksnort ~]$ dig +short @8.8.8.8 ourdomain.com
10.1.1.50
[mpenning@Bucksnort ~]$

Supondo que o Bucksnort seja 10.1.1.12, se você executar debug ip natno seu roteador durante uma consulta DNS, verá ...

Sep 23 23:12:29.132 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.132 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.136 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [628]
Sep 23 23:12:29.140 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.140 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.140 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [629]
Sep 23 23:12:29.144 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.148 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.148 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [630]
Mike Pennington
fonte
Olá Mike, muito obrigado pela sua ajuda. Consegui alcançar o resultado desejado usando sua resposta. Muito apreciado :)
OrangeBox 15/10
@ OrangeBox, de nada ... boa sorte com seus esforços.
quer
Oi Mike, E se esse servidor público usar o IP público da interface como a única empresa disponível. Como você pode resolver essa solicitação agora?
Laf 17/10
@ laf, você está perguntando sobre algo que eu testei em laboratório enquanto escrevia a resposta. Já faz quase um mês, então minha memória está turva, mas não acho que encontrei uma boa resposta NAT nesse cenário ... Talvez o melhor que você possa fazer seja um DNS dividido em um servidor Linux ou no próprio roteador .
precisa
Ok, eu estava perguntando, porque eu bati neste cenário muitas vezes sem NAT_solving_success. Aqui estava a configuração para me esclarecer: ip nat dentro da lista de fontes Interface INSIDE_ADDRS sobrecarga FastEthernet0 / 1 sobrecarga ip nat dentro da fonte estática tcp 10.1.1.50 80 interface 80
laf