masahirorの気まま記録簿

個人的な出来事や意見、生活などの記録を思うままにブログに記録

デル株式会社
マウスコンピューター/G-Tune

ASAでのDNS変換設定

昨日会社に設置した、Cisco ASA。

回線切り替え工事とファイアウォールリプレース - masahirorの気まま記録簿
http://d.hatena.ne.jp/masahiror/20091028/nw_kouji

なにかしら問題は発生するだろうなと思って、眠い目をこすって会社に来たら、朝一番に問い合わせが。
「社内から公開Webサーバが見えません」と。
公開WebサーバはDMZに置いており、社内から公開Webサーバへアクセスする際は、内向けDNSDMZIPアドレスを返すように設定して帰った。
ただ、DNSサーバが社内にいくつかあり、管理外のDNSサーバは直接外向けDNSサーバに問い合わせに行き、その結果である【グローバルIPアドレスにアクセスしようとする→ASAのNATで設定した仮想IPアドレスのため、接続不可】という状態に。
これは困ったと午前中いっぱい調べていた。ASAで仮想IPアドレスでもアクセスできるようにならないか調べたが、ならないらしい。
しかたないのでいろいろ調べていたが、Ciscoサイトの難解なテクニカルノートに答えがあるのが分かった。ただ、分かりにくい・・・1時間ぐらいかけて理解しながらじっくり読んで、やっと対処法が分かった。

このページは移動しました。 - テクニカルサポート - Cisco Systems
http://www.cisco.com/JP/support/public/mt/tac/100/1005345/dns-doctoring-3zones.shtml

対処法としては2通り。

前者はすでにDMZを運用して時間が経っており、内側DNSの設定を何台も変えないといけないので却下。後者を設定してみた。
設定後、外向けDNSに問い合わせに行くと、きちんとDMZIPアドレスが帰ってくるようになった。
次に、内向けDNSのクエリ転送先を外側DNSに設定*1し、イントラ用に設定した内向けDNSのAレコードを削除。bindをstop/startしたらDMZIPアドレスが帰ってくるようになった。


これで、外側用にはグローバルIPアドレス、内側から問い合わせに行くと自動的にDMZIPアドレスが帰ってくることで、社内からも問題なく公開Webサーバが参照できるようになった。
まあ、内向けDNSでAレコード追加での対処でもよかったのだが、社内から直接外向けDNSを参照している部門サーバとかがどれだけあるか分からないし、こうしておいた方が無難で良かった。



んで、朝から取りかかって完了したのが昼過ぎ。昨日あまり寝てなかった上に、頭をフル回転させて理解しようとしたおかげで、かなり眠くなった。このままでは仕事しても効率が0.1倍くらいになっていたので、落ち着いた頃合いを見て午後は休みをいただいた。
何はともあれ、日をまたがずに解決して良かった。

*1:これまで内側DNSがクエリ転送で指定していた先が、今回のファイアウォールを経由しない別の外向け回線を利用していたため