el 03-23-2020 01:03 PM - fecha de última edición 03-23-2020 01:42 PM por Hilda Arteaga
-Este tipo de evento era formalmente conocido como Pregunte al Experto-
En este evento podrá preguntar y clarificar sus dudas de cómo utilizar las tecnologías de seguridad que Cisco ofrece para proteger a los usuarios que trabajan de forma remota, como AnyConnect, ASA, FTD, Duo y Umbrella.
El foro también funciona como una introducción para aquellos que no le han utilizado anteriormente o que cuentan con poco tiempo de utilizarle.
Haga sus preguntas del lunes 23 de Marzo al viernes 3 de Abril del 2020.
Divya, Jonny y Aditya pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.
** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.
el 04-17-2020 05:56 PM
Hola,
¿Alguna directriz para solucionar problemas de consultas DNS? Resolver dns locales siempre nos ha dado problema cuando están conectados a AnyConnet VPN.
Muchas gracias.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-17-2020 05:59 PM
Hola,
¿Tienen problemas con la resolución de DNS local a través del túnel VPN?
En caso afirmativo, puede verificar los atributos del group policy para el valor específico.
Si está buscando las mejores prácticas, también pueden configurar las siguientes tres opciones para DNS con AnyConnect:
- Split DNS: las consultas DNS que coinciden con los nombres de dominio se configuran en el dispositivo de seguridad adaptable de Cisco (ASA). Se mueven a través del túnel (a los servidores DNS que están definidos en el ASA, por ejemplo) mientras que otros no.
- Tunnel-all-DNS: solo se permite el tráfico DNS a los servidores DNS definidos por el ASA. Esta configuración se configura en la política de grupo (group policy).
- DNS estándar: todas las consultas DNS se mueven a través de los servidores DNS definidos por el ASA. En el caso de una respuesta negativa, las consultas DNS también pueden ir a los servidores DNS que están configurados en el adaptador físico.
También pueden consultar el siguiente enlace para obtener más claridad sobre el comportamiento de DNS con AnyConnect:
https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116016-technote-AnyConnect-00.html#anc1
Saludos, Aditya
el 04-17-2020 06:02 PM
Hola,
Gracias por la respuesta
"Split DNS: las consultas DNS que coinciden con los nombres de dominio se configuran en el dispositivo de seguridad adaptable de Cisco (ASA). Se mueven a través del túnel (a los servidores DNS que están definidos en el ASA, por ejemplo) mientras que otros no."
Cuando dice "servidores DNS que están definidos en el ASA" significa que ¿el servidor DNS está configurado en el firewall ASA o en el túnel o en la política de grupo?
Las consultas DNS que coinciden con los nombres de dominio, ¿quiere decir que el nombre de dominio está configurado en el firewall o en la política de grupo?
¿Qué sucede si tenemos un dominio dividido como test.local y test.com?
test.com (es una zona de reenvío en el mismo servidor test.local dns, por ejemplo: 192.168.1.100)
test.com también se resuelve en direcciones IP privadas
esta es mi configuración actual:
dns domain-lookup Inside
dns server-group DefaultDNS
name-server 192.168.1.100
domain-name test.local
Gracias
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-17-2020 06:03 PM
Hola,
Todos los valores estarían bajo el group policy. Pueden agregar múltiples valores/dominios bajo la política de grupo.
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s16.html#pgfId-1597902
el 04-17-2020 06:12 PM
Hola,
Gracias por la respuesta .
He intentado todos los split dns , estándar, túnel all dns ... Todavía no puedo resolver (el servidor del dns es accesible desde el servidor). Estoy usando AnyConnect 4.8 y ASA 9.2
Por favor avísenme.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-17-2020 06:13 PM
Hola,
¿Puedes por favor compartir el resultado de show run group-policy <policy-name>?
Saludos, Aditya
el 04-17-2020 06:16 PM
Hola,
Aquí está mi política de grupo sh run
1)
group-policy it-test internal
group-policy it-test attributes
dns-server value 192.168.1.100
vpn-idle-timeout 20
vpn-tunnel-protocol ikev1 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test-acl
default-domain value test.local
address-pools value it-test-pool
2 )
group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool
Intenté lo siguiente también después de eliminar "split-tunnel-all-dns disable" pero no ayudó.
3 )
group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool
Gracias
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-17-2020 06:19 PM
Hola,
Deshabilite/elimine la configuración "tunnel-all split dns config" y mantenga los valores de dns dividido, también asegúrese de que los servidores DNS (IP) formen parte de la ACL de túnel dividido.
Para confirmar las búsquedas de DNS (saber si están pasando por AnyConnect), puede usar Wireshark, iniciar una captura en la máquina y verificar a qué adaptador se envían las solicitudes de DNS.
Si le es posible, por favor comparta la salida de ipconfig /all de la máquina de prueba y las capturas.
Saludos,
Aditya
el 04-17-2020 06:24 PM
Hola Aditya Ganjoo,
"Deshabilite/elimine la configuración "tunnel-all split dns config" y mantenga los valores de dns dividido, también asegúrese de que los servidores DNS (IP) formen parte de la ACL de túnel dividido."
Deshabilitado y mi subred completa es (192.168.1.0/24) que es parte de la ACL de túnel dividido.
"Para confirmar las búsquedas de DNS (saber si están pasando por AnyConnect), puede usar Wireshark, iniciar una captura en la máquina y verificar a qué adaptador se envían las solicitudes de DNS."
Sí, está pasando por cualquier conexión.
"Si le es posible, por favor comparta la salida de ipconfig /all de la máquina de prueba y las capturas."
Ver archivo adjunto.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-17-2020 06:26 PM
Pude ver que las solicitudes efectivamente llegan al servidor DNS pero devuelven un error del servidor:
Standard query response, Server failure
¿Usted dijo que funciona bien cuando no está en AnyConnect?
Si le es posible, ¿nos puede compartir capturas del que sí funciona?
Saludos,
Aditya
el 04-17-2020 06:30 PM
Hola Aditya Ganjoo
Gracias por la respuesta.
Lo que quiero decir con esto es que funciona cuando estoy en cualquier conexión, si elimino el "split-dns value test.com" se dirige al dns público (ISP) a través del adaptador físico y la dirección IP pública, y el servidor DNS interno que funciona desde nuestra LAN local (pronto podré compartir la captura de paquetes).
¿Pueden decirme por qué la dirección MAC de AnyConnect se muestra como 00:11:22:33:44:55 ?
Ver anexo
Gracias
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-20-2020 02:56 PM
La dirección MAC es para la IP de destino, tu próximo salto o next hop.
La dirección MAC para AC es 0-05-9A-3C-7A-00.
"El controlador AnyConnect no interfiere con el solucionador DNS nativo. Por lo tanto, la resolución DNS se realiza según el orden de los adaptadores de red donde AnyConnect es siempre el adaptador preferido cuando se el VPN está conectado. Además, una consulta DNS se envía primero a través del túnel y si no se resuelve, el solucionador intenta resolverlo a través de la interfaz pública. La lista de acceso split-include incluye la subred que cubre los servidores DNS del túnel. Para empezar con AnyConnect 4.2, rutas de host para el servidor DNS del (los) túnel(es) se agregan automáticamente como redes de inclusión dividida (rutas seguras) por el cliente AnyConnect y, por lo tanto, la lista de acceso de inclusión dividida ya no requiere la adición explícita de la subred del servidor DNS del túnel".
Creo que esto es lo que está sucediendo en tu caso.
Saludos,
Aditya
el 04-20-2020 02:59 PM
Hola Aditya Ganjoo,
Gracias por la respuesta.
He eliminado la subred de ACL, pero el problema persiste.
Del análisis de captura de Wirehark, ¿la consulta DNS te responde con algun error?
Cuando dice "La dirección MAC es para la IP de destino, su next hop".
¿Crees que podría ser la interfaz de firewall ASA?
Gracias
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-20-2020 03:01 PM
Eso hay que verificarlo, no creo que sea la dirección MAC de ASA. Busqué la dirección MAC y me parece un dispositivo basado en CIMSYS Inc.
Saludos,
Aditya
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad