基于 Cisco IPSec VPN 的 IPv6？

Question

我们使用 Cisco ASA 5505 作为我们网络上的防火墙和 IPSec VPN 端点。

我们使用拆分隧道来减少我们互联网链接的负载。换句话说，当有人连接到 VPN 时，他们的 DNS 查询会通过我们的内部 DNS 服务器，解析为 10.0.0.0/8 的主机的所有流量都通过隧道发送。其他流量通过其本地 Internet 网关发送。这对于 IPv4 流量非常有效。

我现在已经向 LAN 上的所有服务器和台式机推出了 IPv6 连接（一个 SixXS 6in4 隧道）。我们有（希望增长的）用户在家中拥有自己的 IPv6 连接。

当我将内部服务器的 IPv6 地址添加到内部 Bind9 DNS 时，一些外部用户无法再正确连接到内部服务器。我假设他们从我们的 DNS 和他们的应用程序中获得 AAAA 记录，偏好 AAAA 地址，尝试通过 IPv6 直接连接到服务器，而不是使用 IPSec 隧道。它们遇到我们的防火墙并最终超时并通过 IPv4 连接。作为回应，我已经从我们的 DNS 中删除了 AAAA 记录。

根据此论坛帖子，Cisco IPSec 客户端不支持 IPv6，因此我必须对 AnyConnect 进行昂贵的升级。

我想到的解决方法：

• 创建一个裂脑 DNS，向 LAN 主机提供 AAAA 记录，而只向 VPN 客户端提供 A 记录。VPN 客户端位于特定的 IPv4 范围内，但不知道如何设置裂脑 DNS。
• 只是不在内部 DNS 中提供 AAAA 记录。这会将我们的 IPv6 使用限制为从内部客户端到发布 AAAA 记录的 Internet 服务器的连接。内部流量将保持 IPv4。

请问你的想法？有没有一种解决方案可以让我继续使用 IPSec VPN，同时还在服务器上宣传 IPv6？

Answer 1

虽然这不是最优雅的解决方案，但您可以通过使用 BIND 拆分视图在 DNS 级别解决此问题，该视图允许您向不同的客户端呈现不同的 DNS 信息。由于您的 VPN 客户端被整齐地隔离，因此过滤将很简单。设置区域文件以便您不必为每个服务器创建多个条目需要一点艺术，但并不是太困难。请参阅此示例或 BIND9 文档。