Utenti di Accesso remoto non in grado di raggiungere i servizi interni tramite RAVPN
Sommario
Problema
Gli utenti di Accesso remoto che utilizzano Secure Access non sono stati in grado di raggiungere i servizi interni, incluso il controller di dominio presso la sede centrale, mentre l'accesso a Internet ha continuato a funzionare normalmente. Gli utenti possono esplorare Internet, ma non accedere alle risorse interne, ad esempio il controller di dominio tramite RAVPN (VPN ad accesso remoto).
Ambiente
Cisco Secure Access - Accesso remoto sicuro del client (VPN, postura, risorsa privata)
Tunnel RAVPN (Remote Access VPN) segnalati come attivi e integri
Infrastruttura SD-WAN in uso
Server DNS interni nelle sedi centrali
Servizi del controller di dominio presso la sede centrale
Reti di filiali multiple collegate tramite l'infrastruttura
Risoluzione
Per risolvere il problema di connettività di Accesso remoto sono state eseguite le operazioni di risoluzione dei problemi seguenti:
Passaggio 1: Analisi acquisizione pacchetti
Raccogliere l'acquisizione simultanea dei pacchetti dal client e dal dispositivo perimetrale (bidirezionale) per analizzare i modelli di flusso del traffico.
Flusso:
Client VPN per RA —Cisco Secure Access —Tunnel IPSec — Dispositivo perimetrale —Risorsa privata
Verificare che le query DNS dei client abbiano raggiunto il dispositivo Edge e siano state inviate al server DNS.
Verificare se non è stata rilevata alcuna risposta DNS durante la restituzione dal server DNS locale ai client
Il server DNS locale stava inviando una risposta, ma tali risposte non sono mai state restituite all'interfaccia del tunnel.
Passaggio 2: Identificazione della root cause
In base all'analisi dell'acquisizione dei pacchetti, il problema è stato identificato come un problema di routing del percorso di ritorno. L'analisi del traffico ha indicato che mentre le query DNS raggiungevano correttamente il server DNS locale tramite l'infrastruttura Cisco Secure Access, il traffico di ritorno contenente le risposte DNS non raggiungeva i client di Accesso remoto a causa di problemi di routing o configurazione nell'infrastruttura.
Passaggio 3: Revisione e risoluzione dei problemi di configurazione
Esaminare e correggere la configurazione della rete interna e la configurazione della rete interna, in particolare per quanto riguarda:
Configurazione DNS e routing del traffico di ritorno
Criteri di routing interno per il traffico di ritorno VPN
Configurazione del routing di rete interno
Elementi di configurazione mancanti sul lato dispositivo Edge
Passaggio 4: Verifica ripristino servizio
In seguito alla revisione e alle correzioni della configurazione, la funzionalità Secure Access è stata in gran parte ripristinata. La maggior parte degli utenti di Accesso remoto ha riottenuto l'accesso ai servizi interni, incluso il controller di dominio presso la sede centrale.
Causa
La causa principale è stata identificata come un problema di routing del percorso di ritorno all'interno dell'infrastruttura di rete interna. Mentre le query DNS dai client di Accesso remoto raggiungevano correttamente il server DNS locale tramite Cisco Secure Access Infrastructure, il traffico di ritorno contenente le risposte DNS non è stato correttamente indirizzato ai client. A causa di una configurazione mancante o errata sul lato dell'infrastruttura della rete interna, le risposte DNS e TCP non sono state in grado di raggiungere i client di Accesso remoto tramite la connessione VPN.
Contenuto correlato
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
12-May-2026
|
Release iniziale |
1.0 |
12-May-2026
|
Versione iniziale |
Feedback