Juniper SSG拆分DNS不能在隧道上工作

Question

我正在努力使DNS代理功能在SSG5 (侧B)中工作。虚拟专用网的另一边是一个SSG140 (侧A)。DNS服务器位于A端。

foo.com应该将DNS查询发送到192.168.1.2 (侧A)。

其他一切(*)都应该将查询发送到8.8.8.8

-When主机B端的PC直接查询192.168.1.2的foo.com，它解决了.

-If主机查询SSG5的*，它将解析。

-If主机试图查询SSG5中的foo.com，但未能解决。

Answer 1

很难说，如果没有看到图表，但我怀疑B端正在使用隧道的接口地址(或底层外部接口的借用地址)作为DNS请求的源地址(例如:从B端的“代理”到192.168.1.2)并将其发送到隧道。

当B端看到这一点时，它会响应DNS请求，但通过它的“不信任”(而不是隧道接口)发送出去(因为隧道很可能没有返回B端外部接口地址的路由)，然后它会被B端丢弃，因为它进入了错误的区域。

我已经很久没有使用ScreenOS了，但是有几种方法可以修复这个问题：

1. 如果存在这样的选项，更新DNS代理的源地址/接口，以便它使用LAN端接口(例如:B端的网络可从侧A通过VPN隧道路由)。这在一开始看起来是违反直觉的，但你实际上是在寻找源地址，而不是界面所面对的“方向”。
2. 向双方的隧道接口分配一个/30，并确保您的DNS服务器能够到达它--这样，当B端启动它的DNS请求时，它将使用新的可路由隧道接口地址，而不是从底层接口借用的地址。
3. 警告:肮脏的黑客从侧B的"LAN“端向B端的隧道接口分配一个未使用的地址--这将实现与2相同的结果。但是，您必须进行任何路由更改。