Tunnel Alle DNS für sicheren Client mit Umbrella-Modul aktivieren

Download-Optionen

  • PDF     (235.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:8. September 2025
Dokument-ID:224809

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie den gesamten DNS-Tunnel für den Cisco Secure Client mit dem Umbrella-Modul aktivieren.

    Hintergrundinformationen

    Cisco hat das Ende seiner Lebensdauer für Cisco AnyConnect im Jahr 2023 und für den Umbrella Roaming Client im Jahr 2024 angekündigt. Viele Kunden von Cisco Umbrella profitieren bereits von der Migration auf den Cisco Secure Client, und wir empfehlen Ihnen, die Migration so bald wie möglich zu beginnen, um ein besseres Roaming-Erlebnis zu erhalten. Weitere Informationen finden Sie in diesem Knowledge Base-Artikel: Wie installiere ich Cisco Secure Client mit dem Umbrella-Modul? 

    Das Modul Cisco Secure Client (CSC) mit Umbrella (ehemals AnyConnect Roaming Security) wurde für nahezu alle CSC VPN-Modi entwickelt, ohne dass eine zusätzliche Konfiguration erforderlich ist.

    Wenn diese Bedingungen jedoch beide zutreffen, sollten Sie zusätzlich in Betracht ziehen:

    • Split-Tunneling ist aktiviert.
    • Die Funktion "Tunnel All DNS" ist aktiviert.

    Problem und Auswirkungen

    Wenn "Tunnel All DNS" aktiviert ist, wird der DNS-Datenverkehr auf Kernel-Ebene abgefangen und blockiert, wenn er nicht von der richtigen VPN-Schnittstelle ausgeht. Dies führt zu einem Problem für das CSC-Modul, wenn Cisco Umbrella Resolver nicht Teil der Split Tunnel (Include) Konfiguration sind.

    Die Auswirkungen dieses Problems sind minimal, da das CSC-Modul standardmäßig verschlüsselten DNS (UDP-Port 443) verwendet, der nicht durch "Tunnel All DNS" blockiert wird. Daher tritt das Problem nur in Netzwerken auf, in denen keine DNS-Verschlüsselung verfügbar ist.

    Das Szenario sieht wie folgt aus:

    • Das Roaming-Modul versucht, den Datenverkehr über die normale LAN-Schnittstelle an Cisco Umbrella weiterzuleiten.
    • Das lokale Netzwerk lässt keine DNS-Verschlüsselung zu und sendet daher unverschlüsselte Standard-DNS-Abfragen.
    • Dieser Datenverkehr wird durch die Funktion "Tunnel All DNS" (Gesamten DNS tunneln) blockiert, für die DNS innerhalb des VPN benötigt wird.

    In diesem Szenario funktioniert DNS nicht wie erwartet.

    Empfehlung

    Um sicherzustellen, dass dieser Zustand nicht möglich ist, empfiehlt Cisco Umbrella eine dieser Maßnahmen.

    • Deaktivieren Sie "Tunnel All DNS" in der VPN-Gruppenrichtlinie. Das CSC-Modul übernimmt das Routing von DNS.
      ODER
    • Fügen Sie die folgenden Cisco Umbrella DNS-Resolver zur Split Tunnel-Konfiguration (Include) hinzu:
      • 208.67.222.222
      • 208.67.220.220
      • 208.67.222.220
      • 208.67.220.222

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    08-Sep-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.