事象
VPN Load balancingのredirect-fqdn機能を有効化にしたにもかかわらず、
VPN接続時にIPアドレスがリダイレクトされてしまい、以下の警告メッセージが表示されます。
原因
redirect-fqdn enableの場合、Secure Clientは、VPNクラスタの Public (outside) 側の仮想IPアドレス宛てにVPN接続を開始しますが、その仮想IPアドレス宛てに来たVPN接続要求に対して、MasterのASAが、実際に接続するASAのPublic IPアドレスの逆引きルックアップを実行します。逆引きDNS(PTR)で解決されたFQDNに対して、再度VPN接続を出すように、クライアントに返しますが、逆引きDNS(PTR)の名前解決が失敗した場合は、IPアドレスがクライアントに返されます。
対処策
redirect-fqdn機能を有効にするには、下記のいずれかの作業を実施します。
- MasterのASAでDNS設定状況を確認し、すべての ASA outside IPアドレスの逆引きDNS (PTR)がDNSサーバ側に登録されていることを確認します。
ASAのDNSサーバの設定例:
dns domain-lookup outside
dns name-server 8.8.8.8
- DNSサーバでの確認が難しい場合は、MasterのASAでnameコマンドを使用して、FQDNをIPアドレスに関連付けることができます。
ASAコマンド例:
name 100.1.1.1 asa1.cisco.com
name 100.1.1.2 asa2.cisco.com
参考情報
ASA/FTD: VPN Load Balancing の設定と確認例
ASA シリーズ コマンドリファレンス(dns name-server)
ASA シリーズ コマンドリファレンス(name)