https://opennet.ru/openforum/vsluhforumID6/1935.html Добрый день! Слышал у ASA есть функционал - DNS doctoring.<br>Суть его в том, что она перехватывает DNS запросы и отдает ответы хостам ,минуя DNS-server.<br><br>Задача такая, есть cisco1921. Маршрут по умолчанию указан на провайдера с внешним интернетом. Так же есть GRE тунель, за ним куча локальных обьектов.<br>Хостам раздаю по DHCP 192.168.18.0 /24 ,так же раздаю DNS сервера 10.10.10.3 10.10.10.4(они за тунелем)<br>конфиг<br>ip dhcp pool LAN<br> network 192.168.18.0 255.255.255.0<br> default-router 192.168.18.254<br> dns-server 10.10.0.3 10.10.0.4 192.168.205.5 8.8.8.8 8.8.4.4<br><br><br>Есть WEBсервер,доступный локально, за тунелем GRE , а так же по внешнему адресу через провайдера. К нему хосты обращаются как к server.com, DNS-сервера резолвят это имя в 172.16.0.1. Эта сеть находиться за тунелем.<br><br>Задача состоит в том,чтоб хосты резолвили имя server.com в внешний адрес и шли по дефолтному маршруту через провайдера, а не в через GRE по локальному 172.16.0.1.<br>Помогите плз, как это можно реализовать на ISR роутере..<br>Какой-ни https://opennet.ru/openforum/vsluhforumID6/1935.html#4 Mon, 14 Mar 2016 10:03:22 GMT в контролируемой локалке просто свой ДНС делается и вопрос закрыт<br> https://opennet.ru/openforum/vsluhforumID6/1935.html#3 Fri, 11 Mar 2016 11:55:54 GMT &gt;[оверквотинг удален]<br>&gt; самое негорюй и роутер превращается в тыкву <br>&gt; Перехватывать и перенаправлять L4 траффик умеют роутеры с функционалом ISG. На ISR <br>&gt; такого нет, максимум можно полиси-роутингом перехватывать DNS траффик и роутить его <br>&gt; на локальный сервер, где уже будет некий прозрачный DNS, умеющий его <br>&gt; обрабатывать.<br>&gt; По хорошему такая задача решается установкой обычного локального DNS сервера, в котором <br>&gt; вручную добавлена зона server.com, с нужными вам записями. Все ПК в <br>&gt; локалке настраиваются на использование этого DNS.<br>&gt; Сервером может быть как виндовый родной DNS, так и bind под любую <br>&gt; платформу, в том числе и под win32.<br><br>Есть вариант написать маршрутную карту и нат к ней отдельный, чтобы при виде пакета в сторону туннеля, нинтерфейс его подбирал и натил в нужную сторону принудительно. НО, учитывая постановку вопроса, от ТС, для него это не пойдёт.<br> https://opennet.ru/openforum/vsluhforumID6/1935.html#2 Fri, 11 Mar 2016 06:45:02 GMT &gt;&gt;[оверквотинг удален] <br><br>ТС хочет, чтобы роутер перехватывал DNS запросы до определенного имени и отвечал отличным от голбального DNS адресом хоста server.com.<br><br><br>DNS сервис в роутере в общем-то есть, но:<br>1. он не перехватывает запросы, он ресолвит когда его просят напрямую<br>2. он там для галочки и при мало-мальской нагрузке грузит проц по самое негорюй и роутер превращается в тыкву<br><br>Перехватывать и перенаправлять L4 траффик умеют роутеры с функционалом ISG. На ISR такого нет, максимум можно полиси-роутингом перехватывать DNS траффик и роутить его на локальный сервер, где уже будет некий прозрачный DNS, умеющий его обрабатывать.<br><br>По хорошему такая задача решается установкой обычного локального DNS сервера, в котором вручную добавлена зона server.com, с нужными вам записями. Все ПК в локалке настраиваются на использование этого DNS.<br>Сервером может быть как виндовый родной DNS, так и bind под любую платформу, в том числе и под win32.<br> https://opennet.ru/openforum/vsluhforumID6/1935.html#1 Thu, 10 Mar 2016 22:01:39 GMT &gt;[оверквотинг удален]<br>&gt; Есть WEBсервер,доступный локально, за тунелем GRE , а так же <br>&gt; по внешнему адресу через провайдера. К нему хосты обращаются как к <br>&gt; server.com, DNS-сервера резолвят это имя в 172.16.0.1. Эта сеть находиться за <br>&gt; тунелем.<br>&gt; Задача состоит в том,чтоб хосты резолвили имя server.com в внешний адрес и <br>&gt; шли по дефолтному маршруту через провайдера, а не в через GRE <br>&gt; по локальному 172.16.0.1.<br>&gt; Помогите плз, как это можно реализовать на ISR роутере..<br>&gt; Какой-нибудь аналог hosts в винде(хосты сперва обращаются в локальную таблицу hosts, а <br>&gt; потом только к DNS серверам) <br><br>Не совсем понял, зачем Вам докторинг и у Вас не асашка)<br>dns-server 8.8.8.8 8.8.4.4 -- так Вы пойдёте через мир<br><br>или назнаяте на Ваших DNS серверах белый адрес этого сервера.<br>