Einleitung
In diesem Dokument wird beschrieben, wie Umbrella-Roaming-Clients (Standalone und AnyConnect) in Unternehmensnetzwerken deaktiviert und außerhalb des Unternehmensnetzwerks aktiviert werden.
Hintergrundinformationen
Dieser Artikel richtet sich an Administratoren. Wenn Sie den Roaming-Client im Netzwerk nicht abschalten möchten, beenden Sie hier.
Die Funktion Umbrella Protected Networks ist für ein zentrales Egress-Netzwerk vorgesehen. Für Netzwerke mit mehr als einem Ausgang ist eine alternative Funktion erforderlich.
Diese Funktion ist heute in der Produktion als vertrauenswürdige Netzwerkdomäne vorhanden. Im Folgenden erfahren Sie, wie Sie diese Funktion anfordern und welche Anforderungen an Ihr Netzwerk gestellt werden.
Was ist die Funktion der vertrauenswürdigen Netzwerkdomäne?
Die Funktion für vertrauenswürdige Netzwerke nach Domänen ist eine Möglichkeit, den Roaming-Client in Ihrem Unternehmensnetzwerk zu deaktivieren, ihn jedoch vom Netzwerk fernzuhalten. Bei Aktivierung dieser Funktion:
- Deaktiviert den vom Roaming-Client bereitgestellten DNS-Schutz
- Passt Richtlinien an die Netzwerkrichtlinien an
- Stoppt alle Netzwerktests mit Ausnahme der Prüfung der vertrauenswürdigen Netzwerkdomäne.
- Ideal für stark ausgelastete Netzwerke
- Gute Alternative zum VA-Backoff
- Verwendung in Verbindung mit VAs für weniger Netzwerk-Talk
IPv6-Verhalten, Windows und MacOS
- Unter Windows wird die Domäne unter IPv4 und IPv6 abgefragt. Das Abschaltverhalten wird auf jedem Netzwerk-Stack separat behandelt. Wenn die Domäne beispielsweise unter IPv4, aber nicht unter IPv6 aufgelöst wird, wird der Roaming-Client nur unter IPv4 heruntergefahren und bleibt unter IPv6 betriebsbereit. Wenn der Client vollständig heruntergefahren werden soll, müssen IPv4- und IPv6-Abfragen aufgelöst werden.
- Unter MacOS wird die Domäne unter IPv4 und IPv6 abgefragt. Wenn die Domäne im Gegensatz zu Windows auf einem Netzwerk-Stack aufgelöst wird, wird der Roaming-Client sowohl für IPv4 als auch für IPv6 heruntergefahren.
Wie aktiviere ich die Funktion?
Diese Funktion wird nun im Dashboard gesteuert. Weitere Informationen finden Sie unter Einstellungen für Roaming-Computer.
- Die gewünschte Subdomäne für Umbrella Disable. Diese Domäne muss:
- über einen A-Datensatz verfügen, der zu einer internen RFC-1918-IP-Adresse aufgelöst wird (für IPv4)
- AAAA-Einträge, die zu einer RFC-4193-IP auf IPv6 aufgelöst werden (wenn IPv6 verwendet wird)
- RFC-1918-IPs sehen in der Regel aus wie 10.x.x.x, 172.x.x.x oder 192.168.x.x
- RFC-4193 IPv6-Adressen beginnen mit "FD"
- Die IP-Adressen müssen nicht erreichbar sein
- Muss eine Subdomäne sein.
- sub.domain.com - gut!
- subdomain.com - nicht gut.
- Auflösung des Netzwerks in NXDOMAIN, NODATA oder eine öffentliche IP-Adresse (damit der Client in diesem Szenario aktiviert bleibt)
- Befinden Sie sich in einer Zone, die Sie kontrollieren, um sicherzustellen, dass Sie den öffentlichen und lokalen Raum kontrollieren.
- Unterstützt:
- Umbrella-Roaming-Client
- Nur AnyConnect Umbrella Roaming Security Module 4.5 MR4+
Wie kann ich die Funktion für einen Computer testen?
Um die Einstellung lokal zu testen, bevor das Umbrella-Team sie global anwendet, wenden Sie diese Überschreibung an.
- Erstellen Sie die Datei "customer_network_probe.flag".
- Stellen Sie sicher, dass die Datei nicht die Datei .flag.txt enthält.
- Legen Sie die gewünschte Domain in den Inhalt der Datei
- Speichern Sie die Datei in:
- Roaming-Client
- Windows: %ProgramData\OpenDNS\ERC\
- AnyConnect
- Windows: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella\data\
- Cisco Secure Client
- Windows: C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data\
- MacOS: /opt/cisco/secureclient/umbrella/data/
- Neustart des Roaming-Clients
- Roaming-Client: Umbrella Roaming Client: Manuelles Deaktivieren oder Neustarten.
- AnyConnect Starten Sie den übergeordneten vpnagent AnyConnect-Dienst neu.
Anmerkung: MacOS Roaming-Client, AnyConnect-Versionen unterstützen dieses Flag nicht.