Habilitar Túnel de Todos os DNS para Cliente Seguro com Módulo Umbrella

Opções de download

  • PDF     (234.9 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:8 de setembro de 2025
ID do documento:224809

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como habilitar o túnel de todos os DNS para o Cisco Secure Client com módulo Umbrella.

    Informações de Apoio

    A Cisco anunciou o fim da vida útil do Cisco AnyConnect em 2023 e do Umbrella Roaming Client em 2024. Muitos clientes do Cisco Umbrella já estão se beneficiando da migração para o Cisco Secure Client, e você é encorajado a iniciar a migração o mais rápido possível para obter uma melhor experiência de roaming. Leia mais neste artigo da Base de conhecimento: Como instalo o Cisco Secure Client com o Umbrella Module? 

    O Cisco Secure Client (CSC) com o módulo Umbrella (anteriormente AnyConnect Roaming Security) foi projetado para funcionar com quase todos os modos CSC VPN sem necessidade de configuração adicional.

    No entanto, considerações adicionais quando essas condições são verdadeiras:

    • Split Tunneling está habilitado
    • O recurso "Tunnel All DNS" está habilitado

    Problema e impacto

    Com a opção "Tunnel All DNS" habilitada, o tráfego DNS é interceptado no nível do kernel e bloqueado se não sair da interface VPN correta. Isso apresenta um problema para o módulo CSC se os resolvedores do Cisco Umbrella não fizerem parte da configuração do Túnel Dividido (Incluir).

    O impacto desse problema é mínimo porque, por padrão, o módulo CSC usa DNS criptografado (porta UDP 443), que não é bloqueado por "Tunnel All DNS". Portanto, o problema ocorre somente em redes onde a criptografia DNS não está disponível.

    O cenário é o seguinte:

    • O módulo de roaming tenta rotear o tráfego para o Cisco Umbrella através da interface de LAN normal.
    • A Rede Local não permite criptografia DNS e, portanto, envia consultas DNS não criptografadas padrão.
    • Esse tráfego é bloqueado pelo recurso "Tunnel All DNS", que exige que o DNS desça na VPN.

    Neste cenário, o DNS não funciona como esperado.

    Recomendação

    Para garantir que essa condição não seja possível, o Cisco Umbrella recomenda uma dessas ações.

    • Desative "Tunnel All DNS" na política de grupo da VPN. O módulo CSC lida com o roteamento do DNS.
      OU
    • Adicione estes resolvedores DNS do Cisco Umbrella à configuração Split Tunnel (Include):
      • 208.67.222.222
      • 208.67.220.220
      • 208.67.222.220
      • 208.67.220.222

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    08-Sep-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos