¿Alguien tiene experiencia en la configuración de Cisco AnyConnect VPN? Tenemos un problema con la resolución del nombre DNS del cliente cuando nos conectamos a través de VPN.
Para mí, parece que el cliente VPN Cisco AnyConnect intercepta las consultas DNS de los clientes.
- ¿Alguien puede confirmar que el cliente VPN AnyConnect realmente hace esto (intercepta el tráfico DNS)?
- ¿Dónde se configura esto en el servidor VPN?
EDITAR:
Así es como cambia la tabla de enrutamiento cuando me conecto a la VPN:
[~]
$ diff -u /tmp/route_normal /tmp/route_vpn
--- /tmp/route_normal 2010-01-20 19:23:47.000000000 +0100
+++ /tmp/route_vpn 2010-01-20 19:24:46.000000000 +0100
@@ -1,6 +1,10 @@
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
+xxx.xxx.xx.xx.i 10.0.0.1 255.255.255.255 UGH 0 0 0 ath0
172.16.53.0 * 255.255.255.0 U 0 0 0 vmnet1
10.0.0.0 * 255.255.255.0 U 0 0 0 ath0
+172.17.20.0 * 255.255.255.0 U 0 0 0 cscotun
0
+192.168.111.0 172.17.20.212 255.255.255.0 UG 0 0 0 cscotun
0
172.16.140.0 * 255.255.255.0 U 0 0 0 vmnet8
+172.16.0.0 172.17.20.212 255.255.0.0 UG 0 0 0 cscotun
0
default 10.0.0.1 0.0.0.0 UG 0 0 0 ath0
EDITAR 2:
El informático ha hecho "algo" en el punto final de la VPN. Ahora aparece "recursión no disponible" cuando hago nslookup. Los servidores DNS tienen habilitada la recursividad. Entonces debe ser la intercepción DNS de Cisco VPN la que está arruinando esto.
ubuntu@domU-12-31-39-00-ED-14:~$ /opt/cisco/vpn/bin/vpn connect xxx.xxxxxx.xx
...
>> Please enter your username and password
...
>> notice: Establishing VPN...
>> state: Connected
>> notice: VPN session established to ...
ubuntu@domU-12-31-39-00-ED-14:~$ nslookup www.vg.no
;; Got recursion not available from ..., trying next server
;; Got recursion not available from ..., trying next server
;; Got recursion not available from ..., trying next server
;; Got recursion not available from ..., trying next server
Server: 172.16.0.23
Address: 172.16.0.23#53
** server can't find www.vg.no.compute-1.internal: REFUSED
ubuntu@domU-12-31-39-00-ED-14:~$ ping 195.88.55.16
PING 195.88.55.16 (195.88.55.16) 56(84) bytes of data.
64 bytes from 195.88.55.16: icmp_seq=1 ttl=240 time=110 ms
64 bytes from 195.88.55.16: icmp_seq=2 ttl=240 time=111 ms
64 bytes from 195.88.55.16: icmp_seq=3 ttl=240 time=109 ms
^C
--- 195.88.55.16 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2017ms
rtt min/avg/max/mdev = 109.953/110.379/111.075/0.496 ms
Respuesta1
Como se mencionó en un comentario, primero determine su túnel dividido (enrutamiento). El administrador del punto final (Concentrador, ASA, PIX, etc.) generalmente tiene control total de cómo el cliente manejará esto; algunas empresas solo harán un túnel en su red (para que el DNS de su cliente pase por el ISP) y otras requieren un túnel para todo el tráfico a través del enlace (para que el DNS pase por el enlace a la empresa). Es una decisión empresarial/de TI la mayor parte del tiempo.
Examine la tabla de enrutamiento del cliente y vea cómo se ven las puertas de enlace y demás y dónde se enruta el tráfico en su instancia específica para proporcionar el punto de partida para su depuración. Luego, puede intentar realizar consultas DNS directas desde el cliente contra un recurso público (es decir, el nuevo DNS de Google) para ver cuáles son los resultados, mientras usa el software tipo TCPview (si su cliente es Windows) para observar los bits volar.
Respuesta2
Verifique qué dirección IP de origen aparente se está utilizando cuando sus solicitudes de DNS llegan al servidor DNS interno.
Es probable que el servidor haya sido configurado para proporcionar únicamenterecursivoservicio para solicitudes que llegan desde direcciones IP internas conocidas y, de lo contrario, solo ofreceautoritarioservicio para ciertos nombres de dominio que están alojados en el mismo servidor.
Si sus solicitudes de DNS parecen provenir de una dirección IP fuera de la red, entonces solo obtendrán respuestas autorizadas y no recursivas.