• 事象
• 原因
• 対処策
• 参考情報

事象

VPN Load balancingのredirect-fqdn機能を有効化にしたにもかかわらず、

VPN接続時にIPアドレスがリダイレクトされてしまい、以下の警告メッセージが表示されます。

原因

redirect-fqdn enableの場合、Secure Clientは、VPNクラスタの Public (outside) 側の仮想IPアドレス宛てにVPN接続を開始しますが、その仮想IPアドレス宛てに来たVPN接続要求に対して、MasterのASAが、実際に接続するASAのPublic IPアドレスの逆引きルックアップを実行します。逆引きDNS（PTR）で解決されたFQDNに対して、再度VPN接続を出すように、クライアントに返しますが、逆引きDNS（PTR）の名前解決が失敗した場合は、IPアドレスがクライアントに返されます。

対処策

redirect-fqdn機能を有効にするには、下記のいずれかの作業を実施します。

1. MasterのASAでDNS設定状況を確認し、すべての ASA outside IPアドレスの逆引きDNS (PTR)がDNSサーバ側に登録されていることを確認します。

       ASAのDNSサーバの設定例:               

       dns domain-lookup outside

       dns name-server 8.8.8.8

2. DNSサーバでの確認が難しい場合は、MasterのASAでnameコマンドを使用して、FQDNをIPアドレスに関連付けることができます。

       ASAコマンド例:

       name 100.1.1.1 asa1.cisco.com  

       name 100.1.1.2 asa2.cisco.com

参考情報

ASA/FTD: VPN Load Balancing の設定と確認例

ASA シリーズ コマンドリファレンス(dns name-server)

ASA シリーズ コマンドリファレンス(name)