Cisco AnyConnect VPN の設定経験がある方はいらっしゃいますか? VPN 経由で接続すると、クライアントの DNS 名解決に問題が発生します。
私には、Cisco AnyConnect VPN クライアントがクライアントからの DNS クエリを傍受しているように見えます。
- AnyConnect VPN クライアントが実際にこれ (DNS トラフィックを傍受) を実行していることを確認できますか?
- これは VPN サーバーのどこで設定されますか?
編集:
VPN に接続すると、ルーティング テーブルは次のように変更されます。
[~]
$ diff -u /tmp/route_normal /tmp/route_vpn
--- /tmp/route_normal 2010-01-20 19:23:47.000000000 +0100
+++ /tmp/route_vpn 2010-01-20 19:24:46.000000000 +0100
@@ -1,6 +1,10 @@
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
+xxx.xxx.xx.xx.i 10.0.0.1 255.255.255.255 UGH 0 0 0 ath0
172.16.53.0 * 255.255.255.0 U 0 0 0 vmnet1
10.0.0.0 * 255.255.255.0 U 0 0 0 ath0
+172.17.20.0 * 255.255.255.0 U 0 0 0 cscotun
0
+192.168.111.0 172.17.20.212 255.255.255.0 UG 0 0 0 cscotun
0
172.16.140.0 * 255.255.255.0 U 0 0 0 vmnet8
+172.16.0.0 172.17.20.212 255.255.0.0 UG 0 0 0 cscotun
0
default 10.0.0.1 0.0.0.0 UG 0 0 0 ath0
編集2:
IT 担当者が VPN エンドポイントで「何か」を実行しました。 を実行すると、「再帰は使用できません」というメッセージが表示されますnslookup。 DNS サーバーでは再帰が有効になっています。 したがって、Cisco VPN DNS 傍受がこれを台無しにしているに違いありません。
ubuntu@domU-12-31-39-00-ED-14:~$ /opt/cisco/vpn/bin/vpn connect xxx.xxxxxx.xx
...
>> Please enter your username and password
...
>> notice: Establishing VPN...
>> state: Connected
>> notice: VPN session established to ...
ubuntu@domU-12-31-39-00-ED-14:~$ nslookup www.vg.no
;; Got recursion not available from ..., trying next server
;; Got recursion not available from ..., trying next server
;; Got recursion not available from ..., trying next server
;; Got recursion not available from ..., trying next server
Server: 172.16.0.23
Address: 172.16.0.23#53
** server can't find www.vg.no.compute-1.internal: REFUSED
ubuntu@domU-12-31-39-00-ED-14:~$ ping 195.88.55.16
PING 195.88.55.16 (195.88.55.16) 56(84) bytes of data.
64 bytes from 195.88.55.16: icmp_seq=1 ttl=240 time=110 ms
64 bytes from 195.88.55.16: icmp_seq=2 ttl=240 time=111 ms
64 bytes from 195.88.55.16: icmp_seq=3 ttl=240 time=109 ms
^C
--- 195.88.55.16 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2017ms
rtt min/avg/max/mdev = 109.953/110.379/111.075/0.496 ms
答え1
コメントで述べたように、まずスプリット トンネリング (ルーティング) について理解してください。エンドポイント (コンセントレータ、ASA、PIX など) の管理者は、通常、クライアントがこれをどのように処理するかを完全に制御します。一部の企業は自社のネットワークのみをトンネリングし (クライアントの DNS は ISP を経由します)、一部の企業はリンク上のすべてのトラフィックをトンネリングすることを求めます (DNS は企業へのリンクを経由します)。ほとんどの場合、これはビジネス/IT の決定です。
クライアントのルーティング テーブルを覗いて、ゲートウェイなどがどのようになっているか、また、特定のインスタンスでトラフィックがどこにルーティングされているかを確認し、デバッグの開始点を提供します。次に、クライアントからパブリック リソース (Google の新しい DNS など) に対して直接 DNS クエリを実行して結果を確認します。その際、TCPview (クライアントが Windows の場合) タイプのソフトウェアを使用して、ビットが飛び交う様子を確認します。
答え2
DNS 要求が内部 DNS サーバーに到達したときに使用されている明らかなソース IP アドレスを確認します。
サーバーが提供のみを行うように設定されている可能性があります再帰的既知の内部IPアドレスからのリクエストに対してのみサービスを提供し、それ以外の場合は権威ある同じサーバー上でホストされている特定のドメイン名向けのサービス。
DNS 要求がオフネット IP アドレスから送信されているように見える場合、信頼できる回答のみが返され、再帰的な回答は返されません。