Abilita tunnel DNS completo per client protetto con Umbrella Module

Opzioni per il download

  • PDF     (233.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:8 settembre 2025
ID documento:224809

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come abilitare il tunneling di tutti i DNS per Cisco Secure Client con il modulo Umbrella.

    Premesse

    Cisco ha annunciato la fine del ciclo di vita di Cisco AnyConnect nel 2023 e del client di roaming Umbrella nel 2024. Molti clienti Cisco Umbrella stanno già beneficiando della migrazione a Cisco Secure Client e si è incoraggiati ad avviare la migrazione il prima possibile per ottenere un'esperienza di roaming migliore. Ulteriori informazioni in questo articolo della Knowledge Base: Come installare Cisco Secure Client con il modulo Umbrella? 

    Il modulo Cisco Secure Client (CSC) con Umbrella (in precedenza AnyConnect Roaming Security) è progettato per funzionare con quasi tutte le modalità VPN per CSC senza alcuna configurazione aggiuntiva.

    Tuttavia, è necessario prestare maggiore attenzione quando entrambe le condizioni sono vere:

    • Tunneling ripartito abilitato
    • La funzionalità "Tunnel tutti i DNS" è abilitata

    Problema e impatto

    Con "Tunnel All DNS" abilitato, il traffico DNS viene intercettato a livello di kernel e bloccato se non esce dall'interfaccia VPN corretta. Questo introduce un problema per il modulo CSC se i resolver Cisco Umbrella non fanno parte della configurazione del tunnel suddiviso (Include).

    L'impatto di questo problema è minimo perché, per impostazione predefinita, il modulo CSC utilizza DNS crittografato (porta UDP 443) che non è bloccato da "Tunnel All DNS". Pertanto, il problema si verifica solo nelle reti in cui non è disponibile la crittografia DNS.

    Lo scenario è il seguente:

    • Il modulo roaming cerca di indirizzare il traffico a Cisco Umbrella tramite la normale interfaccia LAN.
    • La rete locale non consente la crittografia DNS e pertanto invia query DNS standard non crittografate.
    • Questo traffico è bloccato dalla funzionalità "Tunnel tutti i DNS" che richiede al DNS di disattivarsi dalla VPN.

    In questo scenario, il DNS non funziona come previsto.

    Suggerimento

    Per fare in modo che questa condizione non sia possibile, Cisco Umbrella consiglia una di queste azioni.

    • Disabilitare "Tunnel All DNS" nei Criteri di gruppo VPN. Il modulo CSC gestisce il routing del DNS.
      O
    • Aggiungere i seguenti resolver DNS Cisco Umbrella alla configurazione del tunnel suddiviso (Include):
      • 208.67.222.222
      • 208.67.220.220
      • 208.67.222.220
      • 208.67.220.222

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    08-Sep-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti