De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe Cisco OS® omgaat met DNS-query's en de effecten op de resolutie van domeinnamen met Cisco AnyConnect en gesplitste of volledige tunneling.
Er zijn geen specifieke vereisten van toepassing op dit document.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Wanneer u split-include tunneling gebruikt, zijn dit de drie opties die u hebt voor het Domain Name System (DNS):
Opmerking: De split-tunnel-all-dns opdracht werd voor het eerst geïmplementeerd in ASA versie 8.2(5). Voor deze versie kon je alleen split DNS of standaard DNS doen.
In alle gevallen gaan de DNS-query's die zijn gedefinieerd om door de tunnel te gaan, naar alle DNS-servers die zijn gedefinieerd door ASA. Als er geen DNS-servers zijn gedefinieerd door de ASA, zijn de DNS-instellingen leeg voor de tunnel.
Als u geen gesplitste DNS hebt gedefinieerd, worden alle DNS-query's verzonden naar de DNS-servers die zijn gedefinieerd door de ASA.
De gedragingen die in dit document worden beschreven, kunnen echter verschillen, afhankelijk van het besturingssysteem (OS).
Opmerking: Vermijd het gebruik van de NSLookup wanneer u de naamresolutie op de client test. Vertrouw in plaats daarvan op een browser of gebruik de ping-opdracht. Dit komt omdat NSLookup niet afhankelijk is van de DNS-resolver van het besturingssysteem. AnyConnect forceert het DNS-verzoek niet via een bepaalde interface, maar staat het toe of wijst het af afhankelijk van de gesplitste DNS-configuratie. Om de DNS-resolver te dwingen een acceptabele DNS-server voor een verzoek te proberen, is het belangrijk dat gesplitste DNS-tests alleen worden uitgevoerd met toepassingen die afhankelijk zijn van de native DNS-resolver voor de oplossing van domeinnamen (alle toepassingen behalve NSLookup, Dig en soortgelijke toepassingen die de DNS-resolutie zelf afhandelen, bijvoorbeeld).
AnyConnect Release 2.4 ondersteunt gesplitste DNS Fallback (best effort split DNS), wat niet de echte gesplitste DNS is en wordt aangetroffen in de oudere IPsec-client.
Als het verzoek overeenkomt met een gesplitst DNS-domein, staat AnyConnect toe dat het verzoek wordt getunneld naar de ASA.
Als de server de hostnaam niet kan oplossen, gaat de DNS-resolver verder en verzendt dezelfde query naar de DNS-server die is toegewezen aan de fysieke interface.
Aan de andere kant, als het verzoek niet overeenkomt met een van de gesplitste DNS-domeinen, sluit AnyConnect het niet af in de ASA.
In plaats daarvan bouwt het een DNS-respons op, zodat de DNS-resolver terugvalt en de query naar de DNS-server stuurt die is toegewezen aan de fysieke interface.
Daarom wordt deze functie geen gesplitste DNS genoemd, maar DNS-fallback voor gesplitste tunneling.
AnyConnect verzekert niet alleen dat alleen verzoeken die gesplitste DNS-doeldomeinen bevatten, worden getunneld, maar vertrouwt ook op het DNS-oplossingsgedrag van het besturingssysteem van de client voor het oplossen van hostnamen.
Dit leidt tot beveiligingsproblemen als gevolg van een mogelijk lek in de naam van een privédomein.
De native DNS-client kan bijvoorbeeld een query voor een privédomeinnaam naar een openbare DNS-server verzenden, met name wanneer de VPN DNS-naamserver de DNS-query niet kon oplossen.
Raadpleeg Cisco bug ID CSCtn14578, momenteel alleen opgelost op Microsoft Windows, vanaf versie 3.0(4235).
De oplossing implementeert echte gesplitste DNS, het zoekt strikt naar de geconfigureerde domeinnamen die overeenkomen met en zijn toegestaan op de VPN DNS-servers.
Alle andere query's zijn alleen toegestaan op andere DNS-servers, zoals die zijn geconfigureerd op de fysieke adapter(s).
Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.
Wanneer split tunneling is uitgeschakeld (de tunnel-all configuratie), is DNS-verkeer strikt toegestaan via de tunnel.
De Tunnel-all DNS-configuratie (geconfigureerd in het groepsbeleid) stuurt alle DNS-lookups door de tunnel, samen met een soort split tunneling, en DNS-verkeer is strikt toegestaan via de tunnel.
Dit is consistent voor alle platforms met één voorbehoud voor Microsoft Windows: wanneer een Tunnel-all of Tunnel-all DNS is geconfigureerd, staat AnyConnect DNS-verkeer toe naar de DNS-servers die zijn geconfigureerd op de beveiligde gateway (toegepast op de VPN-adapter). Dit is een beveiligingsverbetering die samen met de eerder genoemde echte gesplitste DNS-oplossing is geïmplementeerd.
Als dit in bepaalde scenario's problematisch blijkt (bijvoorbeeld wanneer DNS-update-/registratieverzoeken naar niet-VPN-DNS-servers moeten worden verzonden), voert u de volgende stappen uit:
Dit Microsoft Windows-probleem komt meestal voor onder deze omstandigheden:
Dit leidt tot een vertraging in de naamresolutie die aanzienlijk kan zijn, vooral als een groot aantal DNS-achtervoegsels door de kop wordt geduwd.
De DNS-client moet door alle query's en beschikbare DNS-servers lopen totdat deze een positief antwoord ontvangt.
Dit probleem is opgelost in AnyConnect versie 3.0 (4235). Raadpleeg Cisco bug IDs CSCtq02141 en Cisco bug ID CSCtn14578, samen met de introductie van de eerder genoemde echte split DNS-oplossing, voor meer informatie.
Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.
Als een upgrade niet kan worden geïmplementeerd, zijn dit de mogelijke oplossingen:
U kunt een adres van het linklocal-subnet 169.254.0.0/16 gebruiken omdat het onwaarschijnlijk is dat een apparaat verkeer naar een van die IP-adressen via de VPN verzendt.
Nadat u de gesplitste-uitsluitingstunnels hebt ingeschakeld, schakelt u lokale LAN-toegang in op het clientprofiel of op de client zelf en schakelt u Tunnel-all dDNS uit.
Voer op de ASA de volgende configuratiewijzigingen uit:
access-list acl_linklocal_169.254.1.1 standard permit host 169.254.1.1
group-policy gp_access-14 attributes
split-tunnel-policy excludespecified
split-tunnel-network-list value acl_linklocal_169.254.1.1
split- Tunnel-all-dns disable
exit
In het clientprofiel moet u deze regel toevoegen:
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
U kunt dit ook per client inschakelen in de AnyConnect-client-GUI. Navigeer naar het menu Voorkeuren voor AnyConnect en vink het selectievakje Toegang tot lokaal LAN inschakelen aan.
De verschillende Cisco-besturingssystemen verwerken DNS-zoekopdrachten op verschillende manieren bij gebruik met split tunneling (zonder split DNS) voor AnyConnect. In dit hoofdstuk worden deze verschillen beschreven.
Op Microsoft Windows-systemen zijn DNS-instellingen per interface. Als split tunneling wordt gebruikt, kunnen DNS-query's terugvallen op de DNS-servers van de fysieke adapter nadat ze zijn mislukt op de VPN-tunneladapter.
Als split tunneling zonder split DNS is gedefinieerd, werkt zowel interne als externe DNS-resolutie omdat deze terugvalt naar de externe DNS-servers.
Er is een gedragsverandering opgetreden in het DNS-mechanisme dat dit afhandelt op AnyConnect voor Windows, in versie 4.2 na de oplossing voor Cisco-bug-ID CSCuf07885.
Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.
Tunnel-all configuratie (en split-tunneling met tunnel-all DNS ingeschakeld)
Vóór AnyConnect 4.2:
Alleen DNS-verzoeken naar DNS-servers die zijn geconfigureerd volgens het groepsbeleid (DNS-tunnelservers) zijn toegestaan.
Het AnyConnect-stuurprogramma reageert op alle andere verzoeken met een reactie 'Geen naam'.
Hierdoor kan DNS-resolutie alleen worden uitgevoerd met de DNS-tunnelservers.
AnyConnect 4.2 +
DNS-verzoeken naar DNS-servers zijn toegestaan, zolang ze afkomstig zijn van de VPN-adapter en door de tunnel worden verzonden.
Alle andere verzoeken worden beantwoord zonder een dergelijke naam en DNS-resolutie kan alleen worden uitgevoerd via de VPN-tunnel.
Voorafgaand aan Cisco bug ID CSCuf07885 fix, AC beperkt de doel-DNS-servers, maar met de oplossing voor deze bug, het nu beperkt welke netwerkadapters kunnen DNS-verzoeken starten.
Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.
AnyConnect-stuurprogramma interfereert niet met de oorspronkelijke DNS-resolver. Daarom wordt de DNS-resolutie uitgevoerd op basis van de volgorde van netwerkadapters waarbij AnyConnect altijd de voorkeursadapter is wanneer VPN is verbonden.
Bovendien wordt een DNS-query eerst via de tunnel verzonden en als deze niet wordt opgelost, probeert de resolver deze via de openbare interface op te lossen. De lijst met gesplitste toegang bevat het subnet dat de DNS-server(s) van de tunnel bestrijkt.
Om te beginnen met AnyConnect 4.2, worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom is voor de split-include-toegangslijst niet langer de expliciete toevoeging van het tunnel DNS-serversubnet vereist.
AnyConnect-stuurprogramma interfereert niet met de oorspronkelijke DNS-resolver. Daarom wordt de DNS-resolutie uitgevoerd op basis van de volgorde van netwerkadapters waarbij AnyConnect altijd de voorkeursadapter is wanneer VPN is verbonden.
Bovendien wordt een DNS-query eerst via de tunnel verzonden en als deze niet wordt opgelost, probeert de resolver deze via de openbare interface op te lossen. De lijst met gesplitste uitsluitingen mag niet het subnet bevatten dat de DNS-server(s) van de tunnel bestrijkt.
Om te beginnen met AnyConnect 4.2, worden hostroutes voor de DNS-server(s) van de tunnel automatisch toegevoegd als gesplitste inclusieve netwerken (beveiligde routes) door de AnyConnect-client en voorkomt daarom de verkeerde configuratie in de gesplitste-uitsluitingstoegangslijst.
Vóór AnyConnect 4.2
DNS-verzoeken, die overeenkomen met de gesplitste dns-domeinen, mogen DNS-servers tunnelen, maar zijn niet toegestaan op andere DNS-servers.
Om te voorkomen dat dergelijke interne DNS-query's uit de tunnel lekken, reageert het AnyConnect-stuurprogramma met "geen dergelijke naam" als de query naar andere DNS-servers wordt verzonden.
Daarom kunnen de gesplitste dns-domeinen alleen worden opgelost via DNS-tunnelservers.
DNS-verzoeken, die niet overeenkomen met de gesplitste dns-domeinen, zijn toegestaan voor andere DNS-servers, maar mogen niet worden gebruikt om DNS-servers te tunnelen.
Zelfs in dit geval reageert het AnyConnect-stuurprogramma met "geen dergelijke naam" als een query voor niet-gesplitste dns-domeinen via tunnel wordt geprobeerd.
Daarom kunnen de niet-gesplitste dns-domeinen alleen worden opgelost via openbare DNS-servers buiten de tunnel.
AnyConnect 4.2 +
DNS-verzoeken, die overeenkomen met de gesplitste dns-domeinen, zijn toegestaan op alle DNS-servers, zolang ze afkomstig zijn van de VPN-adapter.
Als de query afkomstig is van de openbare interface, reageert het AnyConnect-stuurprogramma met een "geen dergelijke naam" om de oplosser te dwingen altijd de tunnel te gebruiken voor naamresolutie.
Daarom kunnen de split-dns-domeinen alleen via een tunnel worden opgelost.
DNS-verzoeken, die niet overeenkomen met de gesplitste dns-domeinen, zijn toegestaan op alle DNS-servers zolang ze afkomstig zijn van de fysieke adapter.
Als de query is gestart door de VPN-adapter, reageert AnyConnect met "geen dergelijke naam" om de oplosser te dwingen altijd de naamresolutie via de openbare interface te proberen.
Daarom kunnen de niet-gesplitste dns-domeinen alleen worden opgelost via de openbare interface.
Op Macintosh-systemen zijn de DNS-instellingen globaal. Als split tunneling wordt gebruikt, maar split DNS niet wordt gebruikt, is het niet mogelijk voor de DNS-query's om DNS-servers buiten de tunnel te bereiken. Je kunt het alleen intern oplossen, niet extern.
Dit is gedocumenteerd in Cisco bug ID CSCtf20226 en Cisco bug ID CSCtz86314. In beide gevallen moet deze oplossing het probleem oplossen:
De gesplitste DNS-kwestie wordt opgelost in AnyConnect versie 3.1. U moet er echter voor zorgen dat aan een van deze voorwaarden wordt voldaan:
Opmerking: AnyConnect wijzigt het bestand resolv.conf op Macintosh OS X niet, maar wijzigt OS X-specifieke DNS-instellingen. Macintosh OS X houdt het resolv.conf-bestand actueel vanwege compatibiliteitsredenen. Gebruik de opdracht scutil --dns om de DNS-instellingen op Macintosh OS X te bekijken.
Wanneer AnyConnect is verbonden, worden alleen Tunnel DNS-servers onderhouden in de DNS-configuratie van het systeem en kunnen DNS-verzoeken daarom alleen naar de Tunnel DNS-server(s) worden verzonden.
AnyConnect interfereert niet met de oorspronkelijke DNS-resolver. De tunnel-DNS-servers zijn geconfigureerd als voorkeursresolvers, die voorrang hebben op openbare DNS-servers, waardoor het ervoor zorgt dat de eerste DNS-aanvraag voor een naamresolutie over de tunnel wordt verzonden.
Omdat DNS-instellingen wereldwijd zijn op Mac OS X, is het voor DNS-query's niet mogelijk om openbare DNS-servers buiten de tunnel te gebruiken, zoals gedocumenteerd in Cisco bug ID CSCtf20226.
Om te beginnen met AnyConnect 4.2, worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom is voor de split-include-toegangslijst niet langer de expliciete toevoeging van het tunnel DNS-serversubnet vereist.
AnyConnect interfereert niet met de oorspronkelijke DNS-resolver.
De tunnel-DNS-servers zijn geconfigureerd als voorkeursresolvers, ze hebben voorrang op openbare DNS-servers, dus dit zorgt ervoor dat de eerste DNS-aanvraag voor een naamresolutie over de tunnel wordt verzonden.
Omdat DNS-instellingen wereldwijd zijn op Mac OS X, is het voor DNS-query's niet mogelijk om openbare DNS-servers buiten de tunnel te gebruiken, zoals gedocumenteerd in Cisco bug ID CSCtf20226.
Om te beginnen met AnyConnect 4.2, worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom is voor de split-include-toegangslijst niet langer de expliciete toevoeging van het tunnel DNS-serversubnet vereist.
Als split-DNS is ingeschakeld voor beide IP-protocollen (IPv4 en IPv6) of als het alleen is ingeschakeld voor één protocol en er geen adresgroep is geconfigureerd voor het andere protocol:
True split-DNS, vergelijkbaar met Windows, wordt afgedwongen. True split-DNS betekent dat verzoeken die overeenkomen met de split-DNS-domeinen alleen via de tunnel worden opgelost, ze worden niet gelekt naar DNS-servers buiten de tunnel.
Als split-DNS is ingeschakeld voor slechts één protocol en een clientadres is toegewezen voor het andere protocol, wordt alleen DNS-terugval voor split-tunneling afgedwongen.
Dit betekent dat AC alleen DNS-verzoeken toestaat die overeenkomen met de gesplitste DNS-domeinen via tunnel (andere verzoeken worden beantwoord door AC met "geweigerde" reactie om failover naar openbare DNS-servers af te dwingen), maar kan het verzoek niet afdwingen dat overeenkomt met de gesplitste DNS-domeinen die niet in de duidelijke taal worden verzonden, via openbare adapter.
Wanneer AnyConnect is verbonden, worden alleen Tunnel DNS-servers onderhouden in de DNS-configuratie van het systeem en kunnen DNS-verzoeken daarom alleen naar de Tunnel DNS-server(s) worden verzonden.
AnyConnect interfereert niet met de oorspronkelijke DNS-resolver. De tunnel-DNS-servers zijn geconfigureerd als voorkeursresolvers, die voorrang hebben op openbare DNS-servers, waardoor het ervoor zorgt dat de eerste DNS-aanvraag voor een naamresolutie over de tunnel wordt verzonden.
AnyConnect interfereert niet met de oorspronkelijke DNS-resolver. De tunnel-DNS-servers zijn geconfigureerd als voorkeursresolvers, die voorrang hebben op openbare DNS-servers, waardoor het ervoor zorgt dat de eerste DNS-aanvraag voor een naamresolutie over de tunnel wordt verzonden.
Als split-DNS is ingeschakeld, wordt alleen DNS-terugval voor split-tunneling afgedwongen. Dit betekent dat AC alleen DNS-verzoeken toestaat die overeenkomen met de gesplitste DNS-domeinen via tunnel (andere verzoeken worden beantwoord door AC met "geweigerde" reactie om failover naar openbare DNS-servers te forceren), maar kan dat verzoek niet afdwingen dat overeenkomt met de gesplitste DNS-domeinen die niet in de clear worden verzonden, via de openbare adapter.
De iPhone is het tegenovergestelde van het Macintosh-systeem en is niet vergelijkbaar met Microsoft Windows. Als split tunneling is gedefinieerd, maar split DNS niet is gedefinieerd, worden DNS-query's afgesloten via de globale DNS-server die is gedefinieerd.
Gesplitste DNS-domeinvermeldingen zijn bijvoorbeeld verplicht voor interne resolutie. Dit gedrag is gedocumenteerd in Cisco bug ID CSCtq09624 en is opgelost in versie 2.5.4038 voor de Apple iOS AnyConnect-client.
Opmerking: Houd er rekening mee dat de iPhone DNS-query's .local-domeinen negeren. Dit is gedocumenteerd in Cisco bug ID CSCts89292. Apple-technici bevestigen dat het probleem wordt veroorzaakt door de functionaliteit van het besturingssysteem. Dit is het ontworpen gedrag en Apple bevestigt dat er geen verandering voor is.
Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.
Cisco bug ID CSCtn14578 - AnyConnect voor ondersteuning van echte gesplitste DNS; geen terugval
Cisco bug ID CSCtz86314 - Mac: DNS-query's onjuist niet verzonden via de tunnel met gesplitste DNS
Cisco bug ID CSCts89292 - AC voor iPhone DNS queries negeren .local domeinen
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
3.0 |
23-May-2024
|
hercertificering |
1.0 |
12-Jun-2014
|
Eerste vrijgave |