运维开发网

IPv6 over Cisco IPSec VPN?

运维开发网 https://www.qedev.com 2020-03-09 17:24 出处:网络 作者:运维开发网整理
我们使用Cisco ASA 5505作为我们网络上的防火墙和IPSec VPN端点. 我们使用拆分隧道来减少互联网链路的负载.换句话说,当某人连接到VPN时,他们的DNS查询将通过我们的内部DNS服务器,并且解析为10.0.0.0/8的主机的所有流量都将通过隧道发送.其他流量通过其本地互联网网关发送.这对IPv4流量非常有效. 我现在已经为局域网上的所有服务器和台式机推出了IPv6连接(SixXS
我们使用Cisco ASA 5505作为我们网络上的防火墙和IPSec VPN端点.

我们使用拆分隧道来减少互联网链路的负载.换句话说,当某人连接到VPN时,他们的DNS查询将通过我们的内部DNS服务器,并且解析为10.0.0.0/8的主机的所有流量都将通过隧道发送.其他流量通过其本地互联网网关发送.这对IPv4流量非常有效.

我现在已经为局域网上的所有服务器和台式机推出了IPv6连接(SixXS 6in4隧道).一个(希望增长)我们的用户在家里拥有自己的IPv6连接.

当我将内部服务器的IPv6地址添加到内部Bind9 DNS时,某些外部用户无法正常连接到内部服务器.我假设他们从我们的DNS及其应用程序获得AAAA记录,优先选择AAAA地址,尝试通过IPv6直接连接到服务器而不是使用IPSec隧道.它们会进入我们的防火墙并最终超时并通过IPv4连接.作为回应,我从DNS中删除了AAAA记录.

根据this forum post,Cisco IPSec客户端不支持IPv6,因此我必须对AnyConnect进行昂贵的升级.

我想到的解决方法:

>制作一个为LAN主机提供AAAA记录的裂脑DNS,并且只向A6个客户端提供A记录. VPN客户端属于特定的IPv4范围,但不知道如何设置裂脑DNS.

>根本不在内部DNS中提供AAAA记录.这会将我们的IPv6使用限制为从内部客户端到宣传AAAA记录的互联网服务器的连接.内部流量仍将是IPv4.

请问你的想法?有没有一个解决方案可以让我继续使用IPSec VPN,还能在服务器上宣传IPv6?

虽然它不是最优雅的解决方案,但您可以使用BIND拆分视图在DNS级别解决此问题,该视图允许您向不同的客户端提供不同的DNS信息.由于您的VPN客户端整齐隔离,过滤将很简单.设置区域文件以便您不必为每个服务器创建多个条目需要一些艺术,但不是太困难.请参见 this example或BIND9文档.
0

精彩评论

暂无评论...
验证码 换一张
取 消