Risoluzione dei problemi di incompatibilità tra Meraki MX Content Filtering e Umbrella
Introduzione
Questo documento descrive come risolvere i problemi di incompatibilità tra il filtro contenuti Meraki MX e Umbrella.
Problema
Quando si utilizza Meraki MX Content Filtering con tecnologia Cisco Talos, i clienti possono riscontrare incoerenze con alcune funzionalità di filtraggio DNS Umbrella.
- Pagina blocco errata (pagine blocco personalizzate non applicate)
- Funzione di bypass della pagina bloccata non visualizzata
- Errore "401 Non autorizzato" per siti che utilizzano il proxy intelligente
- I test di debug dei criteri mostrano un ID organizzazione/origine/ID bundle non corretto
Soluzione
Escludere questo dominio dalla funzionalità di filtro dei contenuti Meraki MX usando l'elenco degli URL consentiti sul dashboard Meraki.
id.opendns.com
Il filtro dei contenuti è configurato nelle seguenti posizioni sul dashboard Meraki:
- In Security & SD-WAN > Content Filtering (impostazioni globali)
- In Rete > Criteri di gruppo (Criteri che possono essere assegnati a utenti o SSID)
21399526244628
In alternativa, disabilita completamente il filtro contenuti Meraki (rimuovi tutti i blocchi di categoria) per usare solo il filtro Umbrella.
Causa principale
Cisco Umbrella utilizza un reindirizzamento univoco globale a http://*.id.opendns.com quando il traffico arriva per la prima volta ai nostri siti Web di destinazione delle pagine bloccate, proxy intelligente o debug delle policy. Questo reindirizzamento è necessario per generare una ricerca DNS univoca a livello globale. Questo DNS univoco consente di autenticare il traffico a livello DNS e di determinare a sua volta l'identità corretta di utente/dispositivo/rete.
Meraki MX Content Filtering esegue i propri controlli di reputazione. Quando si visita il sito http://*.id.opendns.com, il filtro dei contenuti Meraki MX può generare ricerche DNS duplicate per lo stesso dominio che interrompono il processo di autenticazione. Pertanto, Cisco Umbrella non è in grado di determinare l'identità corretta di utente/dispositivo/rete.
Questo problema non impedisce a Cisco Umbrella di applicare i blocchi di contenuti/sicurezza, ma impedisce la visualizzazione del testo, del logo o della personalizzazione corretti della pagina a blocchi.
Cause alternative
Questo comportamento può essere causato anche da proxy Web HTTP o filtri Web in sede. I passaggi di configurazione obbligatori sono necessari per l'utilizzo di Umbrella DNS con un proxy HTTP.
Esempio: Debug dei criteri
Un indicatore di questo problema si ha quando le informazioni nella pagina https://policy-debug.checkumbrella.com/ mostrano un ID organizzazione errato. L'ID può essere visualizzato come '0', '2' o come un ID non associato all'organizzazione prevista.
[GENERAL]
Org ID: 0. <<<<<. Incorrect Org ID
Bundle ID: XXXX
Origin ID: XXXX
Other origins:
Host: policy-debug.checkumbrella.com
Internal IP: x.x.x.x
Time: Fri, 29 Sep 2023 16:16:22.182335 UTC Esempio: Proxy intelligente
Un indicatore di questo problema è quando il server iproxy restituisce un valore imprevisto '401' per alcuni siti (incluso http://proxy.opendnstest.com) anche quando il cliente dispone della licenza per Intelligent proxy. L'errore viene restituito dal server.
Nota: Il proxy intelligente viene utilizzato solo per alcuni siti che hanno una reputazione "grigia" o sospetta, quindi il problema si verifica solo in circostanze specifiche.
Esempio: Blocca pagine
Un indicatore di questo problema è rappresentato dal fatto che nella pagina del blocco non viene visualizzata alcuna personalizzazione specifica dell'organizzazione. La pagina del blocco è ancora visualizzata ma contiene la personalizzazione predefinita 'Cisco Umbrella' invece dei logo/testi personalizzati. Utenti/codici di bypass pagina blocco mancanti.
21399518458644
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
06-Oct-2025
|
Versione iniziale |
Feedback