Как правильно задать внешний DNS у Cisco?

Question

[Валерий]

Есть доменная сеть 192.168.5.0\24, так же есть VPN клиенты, которые подключаются к Cisco.
192.168.5.111 - это домен контроллер.
На самой циско поднят ДНС сервер и прописаны два внешних днса яндекса.

Что бы ввести компьютер в домен, ему необходимо прописать первым ДНС 192.168.5.111, а вторым уже стоит циска 192.168.5.1.

Как я считаю, такая схема ущербна и убога. Хочу что бы стоял один единственный DNS и что бы к нему могли обращаться из интернета по внешнему адрессу.
Как вариант отключить dns сервер на циски и прописать name-server 192.168.5.111. Но как сделать так, что бы с внешнего порта могли обращаться к домен контроллеру? (Винда вечно отказывается входить в домен, если первым ДНСом идет не ДНС доменна)

Сам конфиг

Current configuration : 3840 bytes
!
! Last configuration change at 11:29:02 Russian Mon Sep 29 2014
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router0
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
!
!
!
!
!
aaa session-id common
memory-size iomem 10
clock timezone Russian 10 0
!
!
!
ip dhcp excluded-address 192.168.5.1
ip dhcp excluded-address 192.168.5.1 192.168.5.20
ip dhcp excluded-address 192.168.5.50
ip dhcp excluded-address 192.168.5.111
ip dhcp excluded-address 192.168.5.112
!
ip dhcp pool LAN
 network 192.168.5.0 255.255.255.0
 default-router 192.168.5.1
 dns-server 192.168.5.1
!
!
!
ip domain name cisco
ip name-server 77.88.8.2
ip name-server 77.88.8.88
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
ip inspect name INSPECT_OUT sip
ip inspect name INSPECT_OUT router
ip inspect name INSPECT_OUT pptp
ip inspect name INSPECT_OUT tcp router-traffic
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group ZENIT
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
license udi pid CISCO881-K9 sn ххх
!
!
archive
 log config
  logging enable
  hidekeys
username admin privilege 5 secret 5 ххх
username vadim privilege 5 secret 5 ххх
username enginee privilege 5 secret 5 ххх
username vpn privilege 0 password 7 ххх
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
interface Loopback0
 no ip address
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 description ==INTERNET==
 ip address х.28.110.78 255.255.255.252
 ip access-group FIREWALL in
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip inspect INSPECT_OUT out
 ip virtual-reassembly in
 ip verify unicast reverse-path
 ip tcp adjust-mss 1436
 duplex auto
 speed auto
 no cdp enable
!
interface Virtual-Template1
 ip unnumbered Vlan1
 peer default ip address pool ZENIT
 no keepalive
 ppp authentication pap
!
interface Vlan1
 description ==LAN==
 ip address 192.168.5.1 255.255.255.0
 ip access-group FIREWALL_OUT in
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly in
!
ip local pool ZENIT 192.168.5.200 192.168.5.250
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source static tcp 192.168.5.112 4888 interface FastEthernet4 4888
ip nat inside source static tcp 192.168.5.112 3389 interface FastEthernet4 3389
ip nat inside source list NAT_ACL interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 х.28.110.77
!
ip access-list extended FIREWALL
 permit tcp any any eq 22
 permit icmp any any
 permit tcp any any eq smtp
 permit tcp any any eq pop3
 permit udp any any eq 110
 permit tcp any host х.28.110.78 eq 3389
 permit tcp any host х.28.110.78 eq 4888
 permit tcp any any eq 6969
 permit tcp any any range 6881 6889
ip access-list extended FIREWALL_OUT
 permit ip any any
ip access-list extended NAT_ACL
 permit ip 192.168.5.0 0.0.0.255 any
ip access-list extended PORT_ACL
 permit udp host 192.168.5.112 any eq 3389
 permit tcp host 192.168.5.112 any eq 3389
 permit tcp host 192.168.5.112 any eq 4888
!
!
!
!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
!
end

Answer 1

[Сергей]

Плохая мысль. Нельзя контроллер домена делать "ВНЕШНИМ" ДНС. Он должен быть только внутренним! Для внешки держите отдельный

Comments

[Валерий]

А вообще, как правильно тогда настроить циску, что бы вводить другие ПК через интернет? Вот есть какие либо ПК, надо ввести их в домен.

[Клёвый Админ]

@dtho-dtho использовать VPN, при подключении к которому ДНС'ом будет назначен контроллер домена и только он. На самом контроллере домена делаете либо пересылку к яндекс серверам, либо используете корневые сервера (предварительно обновлённые с того же яндекса).

[Сергей]

Для любых компьютеров в домене - ДНС должен быть контроллер домена
или
ДНС-сервер, который является держателем доменной зоны.
Иначе вы никогда до домена не достучитесь.
Далее. Под доменом понимают обычно разные вещи. Одно - это домен компании, второе - это домен в интернет. Они могут быть одним и тем же, но не рекомендуется их объединять. Причина проста - секъюрность. Вы же не хотите чтоб в один прекрасный момент работа всей вашей компании встала?
Ну и касаемо вашего вопроса.
Компьютеры находящиеся в интернет, не рекомендуется вводить в домен если они используют прямое подключение к вашей сети. Используйте VPN или другие секъюрные способы. Почему так? Банально - секъюрность. Это все равно что ключи от квартиры раздавать каждому встречному. Опять же, я бы с огромной осторожностью отнесся к компьютерам которые подключены через VPN. Ограничил бы их по максимуму, закрыл все что можно, открыл только нужные порты. Потому что вы эти компьютеры не контролируете, даже если они в домене. Не обязательно вас будут ломать, или сканить. Элементарно словите червя или вирус и вся ваша сеть ляжет.
Советую прежде чем делать что-то глобальное (а вы, как я понимаю хотите организовать доступ в сеть из-вне), почитайте литературу о сетевой безопасности. Это очень важно.

[Сергей]

Давайте подумаем что можно сделать.
1. Нужно поднять VPN сервер. Это может быть сервер на Windows (*NIX и.т.д), это может быть Cisco, это может быть какой-нибудь рутер типа Microtik. Неважно. Главное что-бы клиент из-вне мог к нему подключиться и установить защищенное подключение к вашей сети.
2. При подключении ему должен назначаться внутренний IP адрес и в качестве первичного ДНС - контроллер домена. Желательно, но не обязательно, вторичным ДНС назначить другого держателя зоны. Например вторичный контроллер или просто держателя зоны.
3. Как уже подсказали, ваш ДНС должен уметь пересылать рекурсивные запросы в интернет. Это можеть быть гугл, но лучше если это будут root-овые ДНС или ДНС провайдера (если он не против).
4. IP адреса пользователей VPN не должны иметь адреса из диапазона вашей сети. Это нужно для того, что-бы их было проще контролировать. Ограничить VPN сеть - по максимуму. Пустить только туда, куда нужно, разрешить ДНС запросы и доступ к шарам, если нужно. Желательно по возможности разрешить доступ только по определенным портам и протоколам.

Обычно в компаниях используют несколько ДНС серверов. Один (как минимум. У меня например их 4) - это ДНС вашего домена (он же контроллер домена), и второй это ДНС - держатель зоны для вашего сайта в интернет. Их опять же может быть несколько.

ЗЫ. Я может непонятно излагаю, так что если есть вопросы - спрашивайте.

[Сергей]

Ну и самая главная мысль из всей моей писанины: То что находится за файрволом - ЗЛО!
Даже VPN может быть уязвим, поэтому защищайтесь и от него тоже

Answer 2

[dubidrubi]

Для этих целей выделяется отдельный NS сервер в DMZ. На маршрутизаторе настраиваете еще один интерфейс, который будет смотреть в DMZ. Там же размещаете свой внешний NS. Настраивает zone based firewall и nat соответствующим образом. Вот тут можно почитать подробнее - www.cisco.com/c/en/us/products/collateral/security...

Answer 3

[eevdokimov]

В ACL'е VPN'а пропишите пермит в хост с ДНСом и будет счастье.