Ejemplo de Configuración de DNS Doctoring en ASA

Introducción

Este documento muestra cómo se utiliza DNS Doctoring en Adaptive Security Appliance (ASA) para cambiar las direcciones IP incrustadas en las respuestas del Sistema de nombres de dominio (DNS) de modo que los clientes puedan conectarse a la dirección IP correcta de los servidores.

prerrequisitos

Requisitos

La documentación de DNS requiere la configuración de la traducción de direcciones de red (NAT) en el ASA, así como la habilitación de la inspección de DNS.

Componentes Utilizados

La información en este documento se basa en Adaptive Security Appliance.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico.Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada).Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos Cisco para obtener más información sobre las convenciones del documento.

Ejemplos de Doctorado DNS

Servidor DNS en el interior de ASA

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

En la Figura 1, el servidor DNS es controlado por el administrador local. El servidor DNS debe entregar una dirección IP privada, que es la dirección real asignada al servidor de aplicaciones. Esto permite al cliente local conectarse directamente al servidor de aplicaciones.

Desafortunadamente, el cliente remoto no puede acceder al servidor de aplicaciones con la dirección privada. Como resultado, DNS Doctoring se configura en el ASA para cambiar la dirección IP integrada dentro del paquete de respuesta DNS. Esto asegura que cuando el cliente remoto realiza una solicitud DNS para www.abc.com, la respuesta que obtiene es para la dirección traducida del servidor de aplicaciones. Sin la palabra clave DNS en la instrucción NAT, el cliente remoto intenta conectarse a 10.1.1.100, lo que no funciona porque esa dirección no se puede rutear en Internet.

Servidor DNS en el exterior del ASA

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

En la Figura 2, el servidor DNS es controlado por el ISP o un proveedor de servicios similar. El servidor DNS debe entregar la dirección IP pública, es decir, la dirección IP traducida del servidor de aplicaciones. Esto permite a todos los usuarios de Internet acceder al servidor de aplicaciones a través de Internet.

Desafortunadamente, el cliente local no puede acceder al servidor de aplicaciones con la dirección pública. Como resultado, DNS Doctoring se configura en el ASA para cambiar la dirección IP integrada dentro del paquete de respuesta DNS. Esto asegura que cuando el cliente local realiza una solicitud DNS para www.abc.com, la respuesta recibida es la dirección real del servidor de aplicaciones. Sin la palabra clave DNS en la sentencia NAT, el cliente local intenta conectarse a 198.51.100.100. Esto no funciona porque este paquete se envía al ASA, que descarta el paquete.

DNS y NAT de VPN

Considere una situación en la que hay redes que se superponen. En esta condición, la dirección 10.1.1.100 vive tanto en el lado remoto como en el local. Como resultado, debe realizar NAT en el servidor local para que el cliente remoto pueda acceder a él con la dirección IP 192.1.1.100. Para que esto funcione correctamente, se requiere la documentación DNS.

La documentación DNS no se puede realizar en esta función. La palabra clave DNS sólo se puede agregar al final de un objeto NAT o NAT de origen. La NAT doble no admite la palabra clave DNS. Hay dos configuraciones posibles y ambas fallan.

Error en la configuración 1: Si configura el resultado final, traduce 10.1.1.1 a 192.1.1.1, no sólo para el cliente remoto, sino para todos en Internet. Puesto que 192.1.1.1 no es enrutable por Internet, nadie en Internet puede acceder al servidor local.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 dns
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT

Error en la configuración 2: Si configura la línea NAT de Doctorado DNS después de las dos líneas NAT necesarias, esto provoca una situación en la que la Doctorado DNS nunca funciona. Como resultado, el cliente remoto intenta acceder a www.abc.com con la dirección IP 10.1.1.100, que no funciona.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT
nat (inside,outside) source static 10.1.1.100 64.1.1.100 dns

Información Relacionada

• Cisco ASA 5500 Series Adaptive Security Appliances
• Dispositivos de seguridad adaptable Cisco ASA serie 5500 > Descargas de software
• Soporte Técnico y Documentación - Cisco Systems