DNS-Prüfung / Antwortänderung auf ISR der Cisco 1900-Serie

Wir haben einen Cisco 1900 ISR und haben kürzlich einen Webserver unter eingerichtet ourdomain.com. Die Site funktioniert einwandfrei, jedoch können wir über das LAN nicht ourdomain.comauf die Site zugreifen, sondern jeder muss die lokale IP-Adresse verwenden 10.1.1.xxx.

Ich habe verstanden, dass dies eine Einschränkung bei Cisco-Routern ist. Mein umfangreiches Googeln hat DNS-Doctoring (oder DNS-Antwortänderung) aufgetaucht.

Ich habe viele Male versucht, DNS-Doctoring einzurichten, aber ich kann es einfach nicht zum Laufen bringen. Ich glaube, weil unser ISR nicht in der Lage ist, die Befehle auszuführen, die ich versuche:

object network our_server
host 10.1.1.xx
nat (inside,outside) static 50.100.100.10 dns

Gibt es eine andere Möglichkeit, DNS-Doctoring zu erreichen oder auf andere Weise über die externe Adresse auf unseren lokalen Server zuzugreifen?

Unsere Netzwerkkonfiguration lautet wie folgt: Modem > ISR > Switch > End Users

Unser ISR läuft: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)

Ich habe viele Male versucht, DNS-Doctoring einzurichten, aber ich kann es einfach nicht zum Laufen bringen. Ich glaube, weil unser ISR nicht in der Lage ist, die von mir versuchten Befehle auszuführen

Ihr erstes Problem besteht darin, dass Sie Cisco ASA-Befehle auf einem Cisco-Router verwenden. Sie gehen auch davon aus, dass dies ein Problem mit Ihrem Cisco-Router ist.

In Wirklichkeit ist dies ein DNS-Problem, das mit Ihrem Cisco-Router behoben werden kann. Es wird jedoch normalerweise mit einem Split-DNS gelöst

Gibt es eine andere Möglichkeit, DNS-Doctoring zu erreichen oder auf andere Weise über die externe Adresse auf unseren lokalen Server zuzugreifen?

Ja ... Cisco nennt es Netzwerkadressübersetzung (oder nat) ... Nehmen wir an, Sie haben diese Topologie ...

                               +------------+
                        Fa0/0  | Cisco ISR  | Fa0/1
LAN w/ Webhost-----------------|            |-------------------
                        inside |            | outside (To ISP)
                   10.1.1.0/24 +------------+ 192.0.2.1
                                              192.0.2.2 (static translation for the webhost)

interface Fa0/0
 ip address 10.1.1.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
interface Fa0/1
 ip address 192.0.2.1 255.255.255.0
 no ip proxy-arp
 ip nat outside
!
ip nat inside source list INSIDE_ADDRS interface FastEthernet0/1 overload
ip nat inside source static 10.1.1.50 192.0.2.2
!
ip access-list extended INSIDE_ADDRS
 permit ip 10.1.1.0 0.0.0.255 any
 deny   ip any any
!
ip route 0.0.0.0 0.0.0.0 192.0.2.254

Angenommen, Ihre interne Webhost-Adresse lautet 10.1.1.50 und Sie verwenden 192.0.2.2 (eine zweite von Ihrem ISP angegebene Adresse) für Ihren öffentlichen A-Datensatz. Wenn Sie also "ourdomain.com" aus dem Google-Resolver auflösen, erhalten Sie ...

[mpenning@Bucksnort ~]$ dig +short @8.8.8.8 ourdomain.com
10.1.1.50
[mpenning@Bucksnort ~]$

Angenommen, Bucksnort ist 10.1.1.12. Wenn Sie debug ip natwährend einer DNS-Abfrage auf Ihrem Router arbeiten, sehen Sie ...

Sep 23 23:12:29.132 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.132 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.136 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [628]
Sep 23 23:12:29.140 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.140 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.140 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [629]
Sep 23 23:12:29.144 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.148 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.148 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [630]