Tunnel All DNS for Secure Client inschakelen met overkoepelende module

Downloadopties

  • PDF     (233.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:8 september 2025
Document-id:224809

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u alle DNS-tunnel voor Cisco Secure Client met Umbrella-module kunt inschakelen.

    Achtergrondinformatie

    Cisco kondigde het einde van de levensduur van Cisco AnyConnect in 2023 en de Umbrella Roaming Client in 2024. Veel Cisco Umbrella-klanten profiteren al van de migratie naar Cisco Secure Client en u wordt aangemoedigd om zo snel mogelijk te migreren om een betere roamingervaring te krijgen. Lees meer in dit Knowledge Base-artikel: Hoe installeer ik Cisco Secure Client met de overkoepelende module? 

    De Cisco Secure Client (CSC) met Umbrella (voorheen AnyConnect Roaming Security)-module is ontworpen om te werken met bijna alle CSC VPN-modi zonder dat extra configuratie vereist is.

    Echter, extra aandacht wanneer deze voorwaarden zijn beide waar:

    • Split Tunneling is ingeschakeld
    • De functie "Tunnel All DNS" is ingeschakeld

    Probleem en impact

    Als "Tunnel All DNS" is ingeschakeld, wordt DNS-verkeer op kernelniveau onderschept en geblokkeerd als het niet uit de juiste VPN-interface komt. Dit leidt tot een probleem voor de CSC-module als Cisco Umbrella resolvers geen deel uitmaken van de Split Tunnel (Inclusief)-configuratie.

    De impact van dit probleem is minimaal omdat de CSC-module standaard gebruikmaakt van gecodeerde DNS (UDP-poort 443) die niet wordt geblokkeerd door "Tunnel All DNS". Het probleem doet zich daarom alleen voor op netwerken waarvoor geen DNS-codering beschikbaar is.

    Het scenario ziet er als volgt uit:

    • De roamingmodule probeert het verkeer via de normale LAN-interface naar Cisco Umbrella te leiden.
    • Het lokale netwerk staat geen DNS-codering toe en verzendt daarom standaard niet-gecodeerde DNS-query's.
    • Dit verkeer wordt geblokkeerd door de functie "Tunnel All DNS", die vereist dat DNS de VPN afsluit.

    In dit scenario functioneert DNS niet zoals verwacht.

    Aanbeveling

    Om ervoor te zorgen dat deze voorwaarde niet mogelijk is, raadt Cisco Umbrella een van deze acties aan.

    • Schakel "Tunnel All DNS" uit in het VPN-groepsbeleid. De CSC-module regelt de routering van DNS.
      OF
    • Voeg deze Cisco Umbrella DNS-resolvers toe aan de Split Tunnel (Inclusief)-configuratie:
      • 208.67.222.222
      • 208.67.220.220
      • 208.67.222.220
      • 208.67.220.222

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    08-Sep-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten