Задать вопрос

Как правильно задать внешний DNS у Cisco?

Есть доменная сеть 192.168.5.0\24, так же есть VPN клиенты, которые подключаются к Cisco.
192.168.5.111 - это домен контроллер.
На самой циско поднят ДНС сервер и прописаны два внешних днса яндекса.

Что бы ввести компьютер в домен, ему необходимо прописать первым ДНС 192.168.5.111, а вторым уже стоит циска 192.168.5.1.

Как я считаю, такая схема ущербна и убога. Хочу что бы стоял один единственный DNS и что бы к нему могли обращаться из интернета по внешнему адрессу.
Как вариант отключить dns сервер на циски и прописать name-server 192.168.5.111. Но как сделать так, что бы с внешнего порта могли обращаться к домен контроллеру? (Винда вечно отказывается входить в домен, если первым ДНСом идет не ДНС доменна)

Сам конфиг
Current configuration : 3840 bytes
!
! Last configuration change at 11:29:02 Russian Mon Sep 29 2014
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router0
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
!
!
!
!
!
aaa session-id common
memory-size iomem 10
clock timezone Russian 10 0
!
!
!
ip dhcp excluded-address 192.168.5.1
ip dhcp excluded-address 192.168.5.1 192.168.5.20
ip dhcp excluded-address 192.168.5.50
ip dhcp excluded-address 192.168.5.111
ip dhcp excluded-address 192.168.5.112
!
ip dhcp pool LAN
 network 192.168.5.0 255.255.255.0
 default-router 192.168.5.1
 dns-server 192.168.5.1
!
!
!
ip domain name cisco
ip name-server 77.88.8.2
ip name-server 77.88.8.88
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
ip inspect name INSPECT_OUT sip
ip inspect name INSPECT_OUT router
ip inspect name INSPECT_OUT pptp
ip inspect name INSPECT_OUT tcp router-traffic
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group ZENIT
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
license udi pid CISCO881-K9 sn ххх
!
!
archive
 log config
  logging enable
  hidekeys
username admin privilege 5 secret 5 ххх
username vadim privilege 5 secret 5 ххх
username enginee privilege 5 secret 5 ххх
username vpn privilege 0 password 7 ххх
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
interface Loopback0
 no ip address
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 description ==INTERNET==
 ip address х.28.110.78 255.255.255.252
 ip access-group FIREWALL in
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip inspect INSPECT_OUT out
 ip virtual-reassembly in
 ip verify unicast reverse-path
 ip tcp adjust-mss 1436
 duplex auto
 speed auto
 no cdp enable
!
interface Virtual-Template1
 ip unnumbered Vlan1
 peer default ip address pool ZENIT
 no keepalive
 ppp authentication pap
!
interface Vlan1
 description ==LAN==
 ip address 192.168.5.1 255.255.255.0
 ip access-group FIREWALL_OUT in
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly in
!
ip local pool ZENIT 192.168.5.200 192.168.5.250
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source static tcp 192.168.5.112 4888 interface FastEthernet4 4888
ip nat inside source static tcp 192.168.5.112 3389 interface FastEthernet4 3389
ip nat inside source list NAT_ACL interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 х.28.110.77
!
ip access-list extended FIREWALL
 permit tcp any any eq 22
 permit icmp any any
 permit tcp any any eq smtp
 permit tcp any any eq pop3
 permit udp any any eq 110
 permit tcp any host х.28.110.78 eq 3389
 permit tcp any host х.28.110.78 eq 4888
 permit tcp any any eq 6969
 permit tcp any any range 6881 6889
ip access-list extended FIREWALL_OUT
 permit ip any any
ip access-list extended NAT_ACL
 permit ip 192.168.5.0 0.0.0.255 any
ip access-list extended PORT_ACL
 permit udp host 192.168.5.112 any eq 3389
 permit tcp host 192.168.5.112 any eq 3389
 permit tcp host 192.168.5.112 any eq 4888
!
!
!
!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
!
end
  • Вопрос задан
  • 4562 просмотра
Подписаться 5 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
bk0011m
@bk0011m
Системный администратор
Плохая мысль. Нельзя контроллер домена делать "ВНЕШНИМ" ДНС. Он должен быть только внутренним! Для внешки держите отдельный
Ответ написан
@dubidrubi
Для этих целей выделяется отдельный NS сервер в DMZ. На маршрутизаторе настраиваете еще один интерфейс, который будет смотреть в DMZ. Там же размещаете свой внешний NS. Настраивает zone based firewall и nat соответствующим образом. Вот тут можно почитать подробнее - www.cisco.com/c/en/us/products/collateral/security...
Ответ написан
Комментировать
@eevdokimov
В ACL'е VPN'а пропишите пермит в хост с ДНСом и будет счастье.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы