Cisco 1900シリーズISRでのDNS Doctoring / Replyの変更

我々は持っているのCisco 1900 ISRをし、で、最近のセットアップWebサーバを持っていますourdomain.com。サイトは完全に機能ourdomain.comしますが、LANからはサイトへのアクセスに使用できません。代わりに、全員がローカルIPアドレスを使用する必要があります10.1.1.xxx。

シスコのルーターには制限があることを理解しました。広範囲にわたるグーグル処理により、DNSの診断（またはDNS応答の変更）が発生しました。

私は何度もDNS Doctoringをセットアップしようとしましたが、私はそれを機能させることができません。私たちのISRには、試行しているコマンドを実行する機能がないためです。

object network our_server
host 10.1.1.xx
nat (inside,outside) static 50.100.100.10 dns

DNSの診断を行う、または外部アドレスを使用してローカルサーバーにアクセスする別の方法はありますか？

ネットワーク構成は次のとおりです。 Modem > ISR > Switch > End Users

ISRが実行されています。 Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)

cisco cisco-ios-15 dns

— OrangeBox
ソース

10.1.1.Xネットワーク内のDNSサーバーには何を使用していますか？

— Brett Lykins 2013

すべてのマシンが手動でGoogle DNSを指しているか、Googleを指しているISRを指している:)

— OrangeBox

このISRは現在インターネットアクセスを提供していますか？その場合は、インターフェースとNAT構成をご提示ください。そうでない場合、あなたはインターネットルーター/ファイアウォールに何を使っていますか？

— マイクペニントン2013

私は何度もDNS Doctoringをセットアップしようとしましたが、私はそれを機能させることができません。私たちのISRには、試行しているコマンドを実行する機能がないためです。

最初の問題は、Cisco ASAコマンドをCiscoルーターで使用していることです。また、これがCiscoルータの問題であると想定しています。

実際には、これはCiscoルータで解決できるDNSの問題です。ただし、通常はスプリットDNSで解決されます

DNSの診断を行う、または外部アドレスを使用してローカルサーバーにアクセスする別の方法はありますか？

はい...シスコはそれをネットワークアドレス変換（またはnat）と呼んでいます...このトポロジがあるとしましょう...

                               +------------+
                        Fa0/0  | Cisco ISR  | Fa0/1
LAN w/ Webhost-----------------|            |-------------------
                        inside |            | outside (To ISP)
                   10.1.1.0/24 +------------+ 192.0.2.1
                                              192.0.2.2 (static translation for the webhost)

interface Fa0/0
 ip address 10.1.1.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
interface Fa0/1
 ip address 192.0.2.1 255.255.255.0
 no ip proxy-arp
 ip nat outside
!
ip nat inside source list INSIDE_ADDRS interface FastEthernet0/1 overload
ip nat inside source static 10.1.1.50 192.0.2.2
!
ip access-list extended INSIDE_ADDRS
 permit ip 10.1.1.0 0.0.0.255 any
 deny   ip any any
!
ip route 0.0.0.0 0.0.0.0 192.0.2.254

内部Webホストアドレスが10.1.1.50で、パブリックAレコードに192.0.2.2（ISPから提供された2番目のアドレス）を使用していると仮定します。したがって、googleのリゾルバーから「ourdomain.com」を解決すると、 ...

[mpenning@Bucksnort ~]$ dig +short @8.8.8.8 ourdomain.com
10.1.1.50
[mpenning@Bucksnort ~]$

Bucksnortが10.1.1.12であると仮定するとdebug ip nat、DNSクエリ中にルーターで実行すると、...

Sep 23 23:12:29.132 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.132 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.136 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [628]
Sep 23 23:12:29.140 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.140 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.140 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [629]
Sep 23 23:12:29.144 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.148 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.148 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [630]

— マイク・ペニントン
ソース

こんにちはマイク、あなたの助けに感謝します。私はあなたの答えを使って望ましい結果を達成することができました。

— とても

@OrangeBox、大歓迎です...頑張って頑張ってください。

— マイクペニントン2013年

こんにちはマイク、そのパブリックサーバーがインターフェイスパブリックIPを使用しているとしたら、利用できる唯一の会社としてはどうでしょう。どうすれば今この要求を解決できますか？

— ラフ2013年

@laf、あなたは私が答えを書いている間に私が実験室でテストした何かについて尋ねています。ほぼ1か月が経過しているため、私の記憶はぼやけていますが、そのシナリオで良いNATの答えを見つけたとは思いません...おそらく、Linuxサーバーまたはルーター自体のいずれかで分割DNSを使用するのが最善でしょう。

— マイクペニントン2013年

OK、NAT_solving_successなしでこのシナリオに何度も遭遇したので、私はあなたに尋ねました。これが私自身を明確にするための設定です：ip nat inside source list INSIDE_ADDRS interface FastEthernet0 / 1 overload ip nat inside source static tcp 10.1.1.50 80 interface 80

— laf