排除Umbrella自定义阻止页面绕行或用户代码故障

简介

本文档介绍如何对自定义阻止页面上的绕行或用户代码的Cisco Umbrella问题进行故障排除。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Umbrella。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

解决自定义阻止页面问题

自定义阻止页面不工作有多种原因。本文就一些常见原因进行了综述。

常见情况

“Web策略阻止”(Web Policy Block)页面中未启用HTTPS检查

要确保Web策略块的功能，必须在规则集中启用HTTPS检查。

自定义阻止页面未链接到正确的策略

创建自定义阻止页面后，请确保将其链接到正确的策略：

1.扩展策略。

2.在Umbrella Default Block Page Applied下，选择Edit。

21385636885652

3.选择使用自定义外观，然后从下拉菜单中选择自定义块页：

21385636888340

诊断信息中的组织ID =0，来源ID=30829397

21386106915476

此问题通常是由于Umbrella阻止页面IP“146.112.0.0/16”的上游阻止或DoH在浏览器设置上启用。如果您正在使用Meraki MX并且已启用内容过滤，则可以考虑在Meraki控制面板中禁用内容过滤，并合并Umbrella块页面IP“146.112.0.0/16”，“155.190.0.0/16”、“umbrella.com”和“opendns.com”添加到您的允许/排除列表中，类似于以下屏幕截图：

21417585172628

旁路代码或用户故障排除 

旁路代码或用户工作不正常，或者您收到不同的错误消息有多种原因。

常见情况

错误消息："找不到您输入的旁路代码"

与阻止页面外观类似，必须确保创建的旁路代码/用户与相应的策略正确关联。如果旁路代码或用户连接到其他策略，尝试使用旁路代码或用户可能导致此错误消息。阅读Umbrella文档了解更多信息：

• 创建块页旁路代码
• 在策略中启用阻止页面绕行

阻止页面不显示某些目标的管理旁路部分

如果阻止页面未显示特定目标的“管理绕行”部分，则应用阻止设置可以阻止该页面。旁路代码/用户仅适用于“内容类别”和“阻止目标列表”块类型。要解决此问题，请考虑删除该应用程序并将域/内容类别添加到该策略。

错误消息："您输入的登录凭证无效"

如果启用了控制面板SSO，则以旁路用户身份登录时，预期行为会收到此错误。Block Page Bypass(BPB)用户不再绕过阻止页面或以任何容量对Umbrella进行身份验证。BPB用户与Umbrella中的任何用户一样，也是用户，但是由于SSO处理身份验证的方式，它不能用于绕过阻止页面。而必须使用BPB代码。

错误消息："您输入的旁路代码已过期"

您遇到此错误消息的原因如下：

• 如果绕过代码的过期日期已过，则绕过代码已过期。
• 如果旁路代码到期日期设置为2038年1月19日星期二03:14:07 UTC以后的日期，则可能会发生错误。

使用旁路代码/用户时，页面加载不正确

当用户访问被阻止的域并输入代码以取消阻止该域时，会在该域的用户设备上创建cookie。

例如，如果用户绕过YouTube，则会为“youtube.com”创建一个cookie，且仅为此域创建cookie。在本例中，YouTube服务从不同的域请求信息，如“youtube-nocookie.com”、“ytimg.l.google.com”和“googlesyndication.com”，此用户策略不允许这些域提供信息。这会导致YouTube无法正确加载。

解决方案：如果仍希望使用旁路代码/用户，则可以添加页面所依赖的所有域，以将此信息检索到允许列表。您可以在本文中找到最常用的服务：Block Page Bypass:要允许的域 

阻止页面绕过警告

• 如果阻止的内容是嵌入在页面中的内容(如图像、样式表、脚本)，则用户无法看到BPB页面以输入代码（即使Umbrella尝试显示代码）。
• BPB代码可配置为仅取消阻止某些类别或目标。这可能会导致出现以下问题：部分页面被解除阻止，但嵌入的内容未被阻止。如有疑问，请尝试使用“绕过一切”代码进行测试。
• BPB受到网站上的内容安全策略的严重影响，这些网站可以阻止Umbrella的cookie，因此会阻止BPB处理嵌入的内容。您需要将其中一些嵌入式域列入白名单才能使其正常工作。请参阅“阻止页面绕行：要允许的域。"
• BPB旁路事件当前未记录在Umbrella报告中。