Introdução
Este documento descreve como resolver problemas de incompatibilidade entre o Secure Web Gateway (SWG) e VPNs SSL usando portas interceptadas.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no Cisco Umbrella.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Problema
O Umbrella SWG para AnyConnect pode encontrar problemas de incompatibilidade com determinadas VPNs SSL que usam portas interceptadas pelo agente SWG, como TCP 443. O AnyConnect SWG pode falhar ao ativar e aplicar cobertura de forma confiável. A confiabilidade da rede pode diminuir ou ficar indisponível quando o SWG está ativo e o tráfego de VPN passa pelo SWG. O tráfego fora da Web é descartado nesse cenário. Esse problema afeta todas as VPNs SSL que usam as portas 80 e 443.
Solução
Para evitar que o SWG intercepte o tráfego VPN, configure um desvio para os domínios VPN e endereços IP:
1. No painel Umbrella, navegue para Implantações de Acesso > Gerenciamento de Domínio > Domínios Externos.
2. Adicione o domínio e o endereço IP dos seus servidores de headend VPN à lista External Domains. A entrada IP garante que o tráfego VPN nunca seja interceptado pelo agente SWG devido ao grande número de conexões.
3. Espere uma hora para que a nova configuração seja propagada.
Para usar VPN SSL com SWG:
1. Adicione o domínio VPN à lista External Domains.
2. Se o domínio de headend da VPN for um Sufixo de Pesquisa DNS, o cliente adicionará automaticamente esse domínio durante a conexão.
3. Adicione os endereços IP da extremidade principal da VPN ou o intervalo IP à lista External Domains.
Feedback