Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 14:37



Ответить на тему  [ Сообщений: 11 ] 
AnyconnectVPN и DNS суффикс 
Автор Сообщение

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Коллеги, добрый день!
В чем может быть проблема?
Подключение удаленных клиентов организовано через AnyConnect Client, настроен split-tunneling. Периодически на удаленных компьютерах отваливается доступ в Интернет при активном подключении AnyConnectVPN. Проблема в DNS суффиксе.
Если смотреть DNS запросы от компьютеров, то они начинают улетать c DNS суффиксом. Например, yandex.ru.domain.local, соответственно локальный DNS сервер не может найти такие запросы. Понятно, что DNS суффикс нужен для работы внутренних сервисов.
Как система понимает, что например внешнему доменному имени (yandex.ru) из Интернета не нужно добавлять суффикс, а внутреннему локальному доменному имени предприятия добавлять?

Код:
webvpn gateway SSLVPN-GW
 ip address xx.yy.zz.qq port 443 
 http-redirect port 80
 ssl trustpoint SSLVPN
 logging enable
 inservice
 !
webvpn context SSLVPN-CONTEXT
 virtual-template 1
 aaa authentication list RADIUS
 aaa authentication domain @domain.local
 aaa accounting list RADIUS
 gateway SSLVPN-GW
 logging enable
 !
 nbns-list "SSLVPN-WINS"
   nbns-server 192.168.10.11 master
 ssl authenticate verify all
 inservice
 !
 policy group SSLVPN-POL
   functions svc-enabled
   svc address-pool "SSLVPN-POOL" netmask 255.255.255.0
   svc default-domain "domain.local"
   svc keep-client-installed
   svc mtu 1378
   svc split dns "domain.local"
   svc split include acl ACL_SSLVPN
   svc dns-server primary 192.168.10.16
   svc dns-server secondary 192.168.20.10
   svc wins-server primary 192.168.10.16


19 май 2017, 14:25
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя.


19 май 2017, 17:49
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Bessmertniy писал(а):
Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя.

Ок


20 май 2017, 13:00
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
а это зачем?
Код:
svc split dns "domain.local"

???


23 май 2017, 08:44
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Bessmertniy писал(а):
Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя.

Спасибо! Действительно приложение само решает, добавлять префикс домена или нет. В общем у меня само по себе все заработало.
AlexSashkaff писал(а):
а это зачем?
Код:
svc split dns "domain.local"

???

Эта строка как раз таки решает у какого DNS сервера (домашний роутер\корпоративный сервер) запрашивать А записи. Разделенная DNS.
Когда этой строки нет, то все запросы уходят в сторону корпоративного сервера.
.


23 май 2017, 20:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
itsec писал(а):
Bessmertniy писал(а):
Это самодеятельность приложений - когда они не могут отрезолвить имя они могут добавлять к нему домен. Разбирайтесь почему не резолвится имя.

Спасибо! Действительно приложение само решает, добавлять префикс домена или нет. В общем у меня само по себе все заработало.
AlexSashkaff писал(а):
а это зачем?
Код:
svc split dns "domain.local"

???

Эта строка как раз таки решает у какого DNS сервера (домашний роутер\корпоративный сервер) запрашивать А записи. Разделенная DNS.
Когда этой строки нет, то все запросы уходят в сторону корпоративного сервера.
.

И???
Дальше развивайте тему своего поста (заодно почитаем гайд от Майкрософта, про дописывание DNS суффиксов, который Вы указали и зачем мы их вообще ставим)


31 май 2017, 08:47
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
AlexSashkaff писал(а):
И???
Дальше развивайте тему своего поста (заодно почитаем гайд от Майкрософта, про дописывание DNS суффиксов, который Вы указали и зачем мы их вообще ставим)


Подниму старенькую тему.. может кому то пригодится мой случай.

При включенном раздельном туннелировании DNS запросов
Код:
 svc split dns "domain.local"


У 5-10% пользователей при активном VPN на домашнем ПК перестают резолвится внешние адреса и соответственно ничего не работает, кроме ресурсов по VPN.

Если шлюз на Cisco ASA, то это решается след. командой
Код:
client-bypass-protocol enable


Но у меня шлюз на Cisco Router, там я не нашел этой команды, поэтому решил это выключением IPv6 на физической сетевой карте пользователя.

Помогло.

Пробовал вообще выключать раздельное туннелирование DNS, то все равно у 3-5% пользователей возникали подобные проблемы.


Вложения:
image (2).jpg
image (2).jpg [ 201.41 КБ | Просмотров: 5504 ]
22 окт 2020, 20:09
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
Так выключение IPv6 на физической сетевой карте пользователя полностью решило Вашу проблему?


23 окт 2020, 11:24
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Nikolay_ писал(а):
Так выключение IPv6 на физической сетевой карте пользователя полностью решило Вашу проблему?


Верно! Именно на физической карте, а не на виртуальной карте от Cisco AnyConnect.


23 окт 2020, 15:54
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
Понятно. Спасибо.


23 окт 2020, 20:43
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
А не правильнее ли в асе в dual stack делать?


24 окт 2020, 22:55
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 61


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB