Автор |
Сообщение |
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
Добрый день. Перестала у меня в один прекрасный день работать мутация DNS. Есть мысли, почему это могло произойти? ASA 5520, 8.0.5 Код: static (inside,outside) 62.х.9.216 192.168.1.92 netmask 255.255.255.255 dns Код: policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 ...
П.с. Ребутать пробовал и трансляцию перебить заново - тоже. С уважением, Илья Ответы днс однозначно проходят через АСУ.
|
17 фев 2010, 13:17 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
строки nat менял?
|
17 фев 2010, 13:30 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
неа... Код: ASSA# sh run nat nat (inside) 0 access-list NAT0 nat (inside) 1 access-list NAT nat (outside) 5 access-list SMTP dns outside nat (management) 0 access-list NAT0
Код: ASSA# sh run global global (inside) 5 192.168.100.130 global (VTK) 1 interface global (outside) 1 interface
Код: ASSA# sh access-list SMTP access-list SMTP; 11 elements access-list SMTP line 1 extended permit tcp any host 62.x.9.216 eq www (hitcnt=11) 0x76f67400 access-list SMTP line 2 extended permit tcp any host 62.x.9.216 eq https (hitcnt=3) 0x0c56b102 access-list SMTP line 3 extended permit tcp any host 62.x.9.216 eq 7143 (hitcnt=0) 0x637ac85f access-list SMTP line 4 extended permit tcp any host 62.x.9.216 eq 7993 (hitcnt=0) 0x3d57d53d access-list SMTP line 5 extended permit tcp any host 62.x.9.216 eq 7110 (hitcnt=0) 0xfe261e4d access-list SMTP line 6 extended permit tcp any host 62.x.9.216 eq 7995 (hitcnt=0) 0x467afe73 access-list SMTP line 7 extended permit tcp any host 62.x.9.216 eq domain (hitcnt=1) 0x37613c5b access-list SMTP line 8 extended permit udp any host 62.x.9.216 eq domain (hitcnt=9) 0xe0d6e927 access-list SMTP line 9 extended permit tcp any host 62.x.9.216 eq smtp (hitcnt=6) 0x9e331af3 access-list SMTP line 10 extended permit tcp any host 62.x.9.216 eq 2525 (hitcnt=0) 0xa119c712 access-list SMTP line 11 extended permit tcp any host 62.x.9.216 eq 7025 (hitcnt=0) 0xe496ef82
|
17 фев 2010, 13:34 |
|
|
Dreadnought82
Зарегистрирован: 16 дек 2009, 23:26 Сообщения: 31
|
То есть в конфиге никто ничего не правил, я правильно понял? Нет варианта откатиться на предыдущий конфиг, недельной давности? У меня однажды было такое, правда на рутере, show archive config differences разницы в конфигах не показывала, но после восстановления из архивной копии все стало хорошо. Не знаю, есть ли архив конфигов на ASA, но может пригодится
|
17 фев 2010, 14:11 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
Вот в том-то и засада, что конфиг тот же...
|
17 фев 2010, 14:20 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
перебил соответствующую outside-трансляцию. Заработало, хотя вроде бы dns doctoring работает от static и на PAT ему вообще начхать. Самое интересное, что конфиг-то не изменился. просто переприменил
|
17 фев 2010, 14:23 |
|
|
Dreadnought82
Зарегистрирован: 16 дек 2009, 23:26 Сообщения: 31
|
Недокументированные возможности
|
17 фев 2010, 14:29 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Илюха, ты не прав! Во избежания новых "слетаний" ставь слово dns ещё и в строках nat. Все будет хорошо
|
17 фев 2010, 15:00 |
|
|
gurlov
Зарегистрирован: 08 авг 2014, 11:23 Сообщения: 21
|
Ilya писал(а): перебил соответствующую outside-трансляцию. Поясните, пожалуйста, что вы именно сделали? У меня, похоже, такая же проблема.
|
14 сен 2015, 13:12 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
gurlov писал(а): Ilya писал(а): перебил соответствующую outside-трансляцию. Поясните, пожалуйста, что вы именно сделали? У меня, похоже, такая же проблема. DNS Doctoring вообще-то только со static NAT (не PAT) работает. А в чем Ваша проблема?
|
14 сен 2015, 14:50 |
|
|
gurlov
Зарегистрирован: 08 авг 2014, 11:23 Сообщения: 21
|
Nikolay_ писал(а): А в чем Ваша проблема? у меня схема при которой dns-сервер в inside сети (как, например http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115753-dns-doctoring-asa-config.html#topic2) НО не работает при таком конфиге: Код: object network WIN2003 host 192.168.33.10 nat (ins,out) static 10.145.150.10 object network FS host 192.168.33.11 object network FS_out host 10.145.150.11 nat (ins,out) source static FS FS_out dns win2003 - dns - сервер, FS - файловый сервер к которому должен иметь доступ удалённый хост
Вложения:
Диаграмма3.jpg [ 14.58 КБ | Просмотров: 16838 ]
|
15 сен 2015, 09:39 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
У Вас абсолютно неправильное понимание технологии работы DNS doctoring. Вот это - вообще абсолютно бессмысленно. Цитата: object network WIN2003 host 192.168.33.10 nat (ins,out) static 10.145.150.10 Смотрите - у Вас есть ftp сервер он имеет снаружи адрес 10.145.150.11, а внутри 192.168.33.11. Связано это все трансляцией Цитата: object network FS host 192.168.33.11 object network FS_out host 10.145.150.11 nat (ins,out) source static FS FS_out dns Теперь дальше - это сервер имеет имя! например, ftp.test.com, и DNS сервера (скажем так в интернете) разрешают это имя в адрес 10.145.150.11. Та вот, когда Ваши клиенты внутри сети (192.168.33.0/24) имеют в качестве DNS сервера сервер 10.145.150.10 или 8.8.8.8 или еще какой-то за outside interface и обращаются к ftp серверу по имени ftp.test.com, то ASA будет перехватывать DNS ответы от 10.145.150.10 и подменять в них адрес 10.145.150.11 на адрес 192.168.33.11
|
15 сен 2015, 17:42 |
|
|
gurlov
Зарегистрирован: 08 авг 2014, 11:23 Сообщения: 21
|
Nikolay_ писал(а): Та вот, когда Ваши клиенты внутри сети (192.168.33.0/24) имеют в качестве DNS сервера сервер 10.145.150.10 или 8.8.8.8 или еще какой-то за outside interface и обращаются к ftp серверу по имени ftp.test.com, то ASA будет перехватывать DNS ответы от 10.145.150.10 и подменять в них адрес 10.145.150.11 на адрес 192.168.33.11 Nikolay_ писал(а): У Вас абсолютно неправильное понимание технологии работы DNS doctoring. Вот это - вообще абсолютно бессмысленно. Цитата: object network WIN2003 host 192.168.33.10 nat (ins,out) static 10.145.150.10 Вы мне описали схему, при которой DNS-сервер находиться во внешней сети, а application server и клиент во внутренней. НО у меня схема другая: DNS-сервер и application server расположены во внутренней сети а клиент во внешней. (посмотрите ссылку которую я дал постом выше и схему) По этому я и указал Код: object network WIN2003 host 192.168.33.10 nat (ins,out) static 10.145.150.10 так как это позволяет обращаться к DNS-серверу (я не указал что win2003 это и есть DNS-сервер !?!?! прошу прощения ) удалённому клиенту из внешне сети. Но "докторить" этот сервер мне не надо, а только сервер FS
|
15 сен 2015, 18:12 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Никогда не слышал о таком варианте использования DNS doctoting... Так что бы снаружи. А какой адрес возвращает DNS сервер на DNS запрос об FTP? 192.168.33.11? Тогда может быть нужно переписать трансляцию в виде Цитата: object network FS host 192.168.33.11 object network FS_out host 10.145.150.11
nat (out,ins) source static FS_out FS dns
|
16 сен 2015, 09:50 |
|
|
gurlov
Зарегистрирован: 08 авг 2014, 11:23 Сообщения: 21
|
Nikolay_ писал(а): Никогда не слышал о таком варианте использования DNS doctoting... Так что бы снаружи. А какой адрес возвращает DNS сервер на DNS запрос об FTP? 192.168.33.11? Тогда может быть нужно переписать трансляцию в виде Цитата: object network FS host 192.168.33.11 object network FS_out host 10.145.150.11
nat (out,ins) source static FS_out FS dns Да, DNS возвращает 192.168.33.11, и при прохождении пакета через ASA ответ не изменяется (и на клиенте удалённом смотрел и wireshark-ом на входе и выходе из ASA) Попробовал переписать трансляцию по вашему примеру - не помогло.
|
16 сен 2015, 10:35 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Тогда не знаю, возможно Doctoring работает только в направлении inside - outside. Интересно, однако... Будет время - сам попробую...
|
16 сен 2015, 11:25 |
|
|
gurlov
Зарегистрирован: 08 авг 2014, 11:23 Сообщения: 21
|
Nikolay_ писал(а): Тогда не знаю, возможно Doctoring работает только в направлении inside - outside. Интересно, однако... Будет время - сам попробую... Работает и в обратном направлении: мало того что на сайте cisco.com это написано, так я на другом оборудовании сделал такую схему - всё работает (правда версия IOS тоже разная). Есть подозрение, что на неправильноработающем оборудовании не срабатывает inspect dns
|
18 сен 2015, 16:10 |
|
|
gurlov
Зарегистрирован: 08 авг 2014, 11:23 Сообщения: 21
|
УРА !!!!!!! Я победил эту проблему Значит, подытожу: - Имеется схем с DNS-сервером (192.168.33.10) и файловым сервером (192.168.33.11) в inside сети и Remote_Client в outside сети.
- Задача - сделать DNS-doctoring для файлового сервера.
Простое добавление волшебного dns в конце статического NAT для файлового сервер не помогло! (точнее в ASA v7.2 помогло, а в ASA v9.2 нет) т.е. вот так не работает: Код: object network DNS_SRV host 192.168.33.10 object network FS_SRV host 192.168.33.11 object network DNS_SRV nat (inside,outside) static 10.145.150.10 object network FS_SRV nat (inside,outside) static 10.145.150.11 dns DNS_SRV здесь указан только для того, чтобы показать что он тоже находиться в inside сети. Решение нашёл по этой ссылке http://networkengineering.stackexchange.com/questions/5110/cisco-asa-double-nat-with-dns-translationНеобходимо добавить отдельную трансляцию. При этом бесполезное dns в конце трансляции файлового сервера можно убрать. Вот так работает: Код: object network DNS_SRV host 192.168.33.10 object network FS_SRV host 192.168.33.11 object network DNS_NAT_to_FS host 10.145.150.11 description translates A-Record (DNS answer) 192.168.33.11 to 10.145.150.11 object network DNS_SRV nat (inside,outside) static 10.145.150.10 object network FS_SRV nat (inside,outside) static 10.145.150.11 object network DNS_NAT_to_FS nat (outside,inside) static 192.168.33.11 dns
Вложения:
Диаграмма.jpg [ 16.76 КБ | Просмотров: 16717 ]
|
20 сен 2015, 14:57 |
|
|