Anticisco http://anticisco.ru/forum/ |
|
AnyconnectVPN и DNS суффикс http://anticisco.ru/forum/viewtopic.php?f=2&t=9806 |
Страница 1 из 1 |
Автор: | itsec [ 19 май 2017, 14:25 ] |
Заголовок сообщения: | AnyconnectVPN и DNS суффикс |
Коллеги, добрый день! В чем может быть проблема? Подключение удаленных клиентов организовано через AnyConnect Client, настроен split-tunneling. Периодически на удаленных компьютерах отваливается доступ в Интернет при активном подключении AnyConnectVPN. Проблема в DNS суффиксе. Если смотреть DNS запросы от компьютеров, то они начинают улетать c DNS суффиксом. Например, yandex.ru.domain.local, соответственно локальный DNS сервер не может найти такие запросы. Понятно, что DNS суффикс нужен для работы внутренних сервисов. Как система понимает, что например внешнему доменному имени (yandex.ru) из Интернета не нужно добавлять суффикс, а внутреннему локальному доменному имени предприятия добавлять? Код: webvpn gateway SSLVPN-GW ip address xx.yy.zz.qq port 443 http-redirect port 80 ssl trustpoint SSLVPN logging enable inservice ! webvpn context SSLVPN-CONTEXT virtual-template 1 aaa authentication list RADIUS aaa authentication domain @domain.local aaa accounting list RADIUS gateway SSLVPN-GW logging enable ! nbns-list "SSLVPN-WINS" nbns-server 192.168.10.11 master ssl authenticate verify all inservice ! policy group SSLVPN-POL functions svc-enabled svc address-pool "SSLVPN-POOL" netmask 255.255.255.0 svc default-domain "domain.local" svc keep-client-installed svc mtu 1378 svc split dns "domain.local" svc split include acl ACL_SSLVPN svc dns-server primary 192.168.10.16 svc dns-server secondary 192.168.20.10 svc wins-server primary 192.168.10.16 |
Автор: | Bessmertniy [ 19 май 2017, 17:49 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя. |
Автор: | itsec [ 20 май 2017, 13:00 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
Bessmertniy писал(а): Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя. Ок |
Автор: | AlexSashkaff [ 23 май 2017, 08:44 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
а это зачем? Код: svc split dns "domain.local" ??? |
Автор: | itsec [ 23 май 2017, 20:55 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
Bessmertniy писал(а): Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя. Спасибо! Действительно приложение само решает, добавлять префикс домена или нет. В общем у меня само по себе все заработало. AlexSashkaff писал(а): а это зачем? Код: svc split dns "domain.local" ??? Эта строка как раз таки решает у какого DNS сервера (домашний роутер\корпоративный сервер) запрашивать А записи. Разделенная DNS. Когда этой строки нет, то все запросы уходят в сторону корпоративного сервера. . |
Автор: | AlexSashkaff [ 31 май 2017, 08:47 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
itsec писал(а): Bessmertniy писал(а): Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя. Спасибо! Действительно приложение само решает, добавлять префикс домена или нет. В общем у меня само по себе все заработало. AlexSashkaff писал(а): а это зачем? Код: svc split dns "domain.local" ??? Эта строка как раз таки решает у какого DNS сервера (домашний роутер\корпоративный сервер) запрашивать А записи. Разделенная DNS. Когда этой строки нет, то все запросы уходят в сторону корпоративного сервера. . И??? Дальше развивайте тему своего поста (заодно почитаем гайд от Майкрософта, про дописывание DNS суффиксов, который Вы указали и зачем мы их вообще ставим) |
Автор: | itsec [ 22 окт 2020, 20:09 ] | ||
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс | ||
AlexSashkaff писал(а): И??? Дальше развивайте тему своего поста (заодно почитаем гайд от Майкрософта, про дописывание DNS суффиксов, который Вы указали и зачем мы их вообще ставим) Подниму старенькую тему.. может кому то пригодится мой случай. При включенном раздельном туннелировании DNS запросов Код: svc split dns "domain.local" У 5-10% пользователей при активном VPN на домашнем ПК перестают резолвится внешние адреса и соответственно ничего не работает, кроме ресурсов по VPN. Если шлюз на Cisco ASA, то это решается след. командой Код: client-bypass-protocol enable Но у меня шлюз на Cisco Router, там я не нашел этой команды, поэтому решил это выключением IPv6 на физической сетевой карте пользователя. Помогло. Пробовал вообще выключать раздельное туннелирование DNS, то все равно у 3-5% пользователей возникали подобные проблемы.
|
Автор: | Nikolay_ [ 23 окт 2020, 11:24 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
Так выключение IPv6 на физической сетевой карте пользователя полностью решило Вашу проблему? |
Автор: | itsec [ 23 окт 2020, 15:54 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
Nikolay_ писал(а): Так выключение IPv6 на физической сетевой карте пользователя полностью решило Вашу проблему? Верно! Именно на физической карте, а не на виртуальной карте от Cisco AnyConnect. |
Автор: | Nikolay_ [ 23 окт 2020, 20:43 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
Понятно. Спасибо. |
Автор: | Bessmertniy [ 24 окт 2020, 22:55 ] |
Заголовок сообщения: | Re: AnyconnectVPN и DNS суффикс |
А не правильнее ли в асе в dual stack делать? |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |