Modificación de respuesta / consulta de DNS en ISR de la serie Cisco 1900


8

Tenemos un Cisco 1900 ISR y recientemente hemos configurado un servidor web en ourdomain.com. El sitio funciona perfectamente, sin embargo, desde la LAN no podemos usar ourdomain.compara acceder al sitio, en su lugar, todos tienen que usar la dirección IP local 10.1.1.xxx.

He llegado a comprender que es una limitación con los enrutadores Cisco. Mi búsqueda en Google ha dado lugar a la búsqueda de DNS (o modificación de la respuesta de DNS)

He intentado muchas veces configurar DNS doctoring, pero no puedo hacerlo funcionar, creo que porque nuestro ISR no tiene la capacidad de ejecutar los comandos que estoy intentando:

object network our_server
host 10.1.1.xx
nat (inside,outside) static 50.100.100.10 dns

¿Hay alguna otra manera de obtener la verificación de DNS o acceder a nuestro servidor local utilizando la dirección externa?

Nuestra configuración de red es la siguiente: Modem > ISR > Switch > End Users

Nuestro ISR está funcionando: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)


¿Qué está utilizando para un servidor DNS dentro de la red 10.1.1.X?
Brett Lykins

Todas las máquinas apuntan manualmente a Google DNS o apuntan al ISR que apunta a Google :)
OrangeBox

¿Este ISR le proporciona acceso a Internet ahora? Si es así, muéstrenos la interfaz y la configuración NAT. Si no, ¿qué está utilizando para un enrutador / firewall de Internet?
Mike Pennington

Respuestas:


7

He intentado muchas veces configurar el tratamiento de DNS pero no puedo hacerlo funcionar, creo que porque nuestro ISR no tiene la capacidad de ejecutar los comandos que estoy intentando

Su primer problema es que está utilizando los comandos ASA de Cisco en un enrutador Cisco; también está asumiendo que este es un problema con su enrutador Cisco.

En realidad, este es un problema de DNS que se puede resolver con su enrutador Cisco; sin embargo, normalmente se resuelve con un DNS dividido

¿Hay alguna otra manera de obtener la verificación de DNS o acceder a nuestro servidor local utilizando la dirección externa?

Sí ... Cisco lo llama traducción de direcciones de red (o nat) ... Supongamos que tiene esta topología ...

                               +------------+
                        Fa0/0  | Cisco ISR  | Fa0/1
LAN w/ Webhost-----------------|            |-------------------
                        inside |            | outside (To ISP)
                   10.1.1.0/24 +------------+ 192.0.2.1
                                              192.0.2.2 (static translation for the webhost)

interface Fa0/0
 ip address 10.1.1.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
interface Fa0/1
 ip address 192.0.2.1 255.255.255.0
 no ip proxy-arp
 ip nat outside
!
ip nat inside source list INSIDE_ADDRS interface FastEthernet0/1 overload
ip nat inside source static 10.1.1.50 192.0.2.2
!
ip access-list extended INSIDE_ADDRS
 permit ip 10.1.1.0 0.0.0.255 any
 deny   ip any any
!
ip route 0.0.0.0 0.0.0.0 192.0.2.254

Suponga que su dirección interna de Webhost es 10.1.1.50 y está utilizando 192.0.2.2 (una segunda dirección dada por su ISP) para su registro A público. Por lo tanto, cuando resuelve "ourdomain.com" del solucionador de Google, obtiene ...

[mpenning@Bucksnort ~]$ dig +short @8.8.8.8 ourdomain.com
10.1.1.50
[mpenning@Bucksnort ~]$

Suponiendo que Bucksnort es 10.1.1.12, si realiza debug ip naten su enrutador durante una consulta DNS, verá ...

Sep 23 23:12:29.132 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.132 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.136 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [628]
Sep 23 23:12:29.140 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.140 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.140 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [629]
Sep 23 23:12:29.144 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.148 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.148 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [630]

Hola Mike, muchas gracias por tu ayuda. Pude lograr el resultado deseado usando tu respuesta. Muy apreciado :)
OrangeBox

@ OrangeBox, de nada ... buena suerte con tus esfuerzos.
Mike Pennington

Hola Mike: ¿Qué pasa si ese servidor público utiliza la interfaz IP pública como la única compañía disponible? ¿Cómo puede resolver esta solicitud ahora?
laf

@laf, estás preguntando sobre algo que probé en el laboratorio mientras escribía la respuesta. Ha pasado casi un mes, por lo que mi memoria es borrosa, pero no creo que haya encontrado una buena respuesta NAT en ese escenario ... Quizás lo mejor que puede hacer es un DNS dividido en un servidor Linux o en el enrutador .
Mike Pennington

Ok, te estaba preguntando porque llegué a este escenario muchas veces sin NAT_solving_success. Aquí estaba la configuración para aclararme: ip nat dentro de la lista de fuentes INSIDE_ADDRS interfaz FastEthernet0 / 1 sobrecarga ip nat dentro de la fuente estática tcp 10.1.1.50 80 interfaz 80
desde el
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.