Anticisco
http://anticisco.ru/forum/

AnyconnectVPN и DNS суффикс
http://anticisco.ru/forum/viewtopic.php?f=2&t=9806
Страница 1 из 1

Автор:  itsec [ 19 май 2017, 14:25 ]
Заголовок сообщения:  AnyconnectVPN и DNS суффикс

Коллеги, добрый день!
В чем может быть проблема?
Подключение удаленных клиентов организовано через AnyConnect Client, настроен split-tunneling. Периодически на удаленных компьютерах отваливается доступ в Интернет при активном подключении AnyConnectVPN. Проблема в DNS суффиксе.
Если смотреть DNS запросы от компьютеров, то они начинают улетать c DNS суффиксом. Например, yandex.ru.domain.local, соответственно локальный DNS сервер не может найти такие запросы. Понятно, что DNS суффикс нужен для работы внутренних сервисов.
Как система понимает, что например внешнему доменному имени (yandex.ru) из Интернета не нужно добавлять суффикс, а внутреннему локальному доменному имени предприятия добавлять?

Код:
webvpn gateway SSLVPN-GW
 ip address xx.yy.zz.qq port 443 
 http-redirect port 80
 ssl trustpoint SSLVPN
 logging enable
 inservice
 !
webvpn context SSLVPN-CONTEXT
 virtual-template 1
 aaa authentication list RADIUS
 aaa authentication domain @domain.local
 aaa accounting list RADIUS
 gateway SSLVPN-GW
 logging enable
 !
 nbns-list "SSLVPN-WINS"
   nbns-server 192.168.10.11 master
 ssl authenticate verify all
 inservice
 !
 policy group SSLVPN-POL
   functions svc-enabled
   svc address-pool "SSLVPN-POOL" netmask 255.255.255.0
   svc default-domain "domain.local"
   svc keep-client-installed
   svc mtu 1378
   svc split dns "domain.local"
   svc split include acl ACL_SSLVPN
   svc dns-server primary 192.168.10.16
   svc dns-server secondary 192.168.20.10
   svc wins-server primary 192.168.10.16

Автор:  Bessmertniy [ 19 май 2017, 17:49 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя.

Автор:  itsec [ 20 май 2017, 13:00 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

Bessmertniy писал(а):
Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя.

Ок

Автор:  AlexSashkaff [ 23 май 2017, 08:44 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

а это зачем?
Код:
svc split dns "domain.local"

???

Автор:  itsec [ 23 май 2017, 20:55 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

Bessmertniy писал(а):
Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя.

Спасибо! Действительно приложение само решает, добавлять префикс домена или нет. В общем у меня само по себе все заработало.
AlexSashkaff писал(а):
а это зачем?
Код:
svc split dns "domain.local"

???

Эта строка как раз таки решает у какого DNS сервера (домашний роутер\корпоративный сервер) запрашивать А записи. Разделенная DNS.
Когда этой строки нет, то все запросы уходят в сторону корпоративного сервера.
.

Автор:  AlexSashkaff [ 31 май 2017, 08:47 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

itsec писал(а):
Bessmertniy писал(а):
Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя.

Спасибо! Действительно приложение само решает, добавлять префикс домена или нет. В общем у меня само по себе все заработало.
AlexSashkaff писал(а):
а это зачем?
Код:
svc split dns "domain.local"

???

Эта строка как раз таки решает у какого DNS сервера (домашний роутер\корпоративный сервер) запрашивать А записи. Разделенная DNS.
Когда этой строки нет, то все запросы уходят в сторону корпоративного сервера.
.

И???
Дальше развивайте тему своего поста (заодно почитаем гайд от Майкрософта, про дописывание DNS суффиксов, который Вы указали и зачем мы их вообще ставим)

Автор:  itsec [ 22 окт 2020, 20:09 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

AlexSashkaff писал(а):
И???
Дальше развивайте тему своего поста (заодно почитаем гайд от Майкрософта, про дописывание DNS суффиксов, который Вы указали и зачем мы их вообще ставим)


Подниму старенькую тему.. может кому то пригодится мой случай.

При включенном раздельном туннелировании DNS запросов
Код:
 svc split dns "domain.local"


У 5-10% пользователей при активном VPN на домашнем ПК перестают резолвится внешние адреса и соответственно ничего не работает, кроме ресурсов по VPN.

Если шлюз на Cisco ASA, то это решается след. командой
Код:
client-bypass-protocol enable


Но у меня шлюз на Cisco Router, там я не нашел этой команды, поэтому решил это выключением IPv6 на физической сетевой карте пользователя.

Помогло.

Пробовал вообще выключать раздельное туннелирование DNS, то все равно у 3-5% пользователей возникали подобные проблемы.

Вложения:
image (2).jpg
image (2).jpg [ 201.41 КБ | Просмотров: 5512 ]

Автор:  Nikolay_ [ 23 окт 2020, 11:24 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

Так выключение IPv6 на физической сетевой карте пользователя полностью решило Вашу проблему?

Автор:  itsec [ 23 окт 2020, 15:54 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

Nikolay_ писал(а):
Так выключение IPv6 на физической сетевой карте пользователя полностью решило Вашу проблему?


Верно! Именно на физической карте, а не на виртуальной карте от Cisco AnyConnect.

Автор:  Nikolay_ [ 23 окт 2020, 20:43 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

Понятно. Спасибо.

Автор:  Bessmertniy [ 24 окт 2020, 22:55 ]
Заголовок сообщения:  Re: AnyconnectVPN и DNS суффикс

А не правильнее ли в асе в dual stack делать?

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/