annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
11390
Visites
5
Compliment
77
Réponses

Demandez-moi N'importe Quoi - Sécurité : Travailleurs à distance sécurisés

 
Banner_fr_lp_900x150_AMA_Security_20mar_03apr_2020.png

 

Nos experts
divyanai.jpgDivya Nair est Ingénieur Technique Marketing au Security Business Group à Raleigh, en Caroline du Nord. Elle possède plus de 10 ans d'expérience dans les technologies de sécurité réseau Cisco, notamment les pare-feu (firewall), IPS, VPN et AAA; et se concentre actuellement sur les platesformes de gestion de VPN et de pare-feu. Divya est titulaire d'un Bachelier en Sciences Informatiques et de l'Ingénierie.

adganjoo.jpgAditya Ganjoo est Ingénieur Technique Marketing à Bangalore, en Inde. Il travaille avec Cisco depuis sept ans dans des domaines de sécurité tels que le pare-feu, le VPN et l'AAA. Aditya a dispensé des formations sur les technologies ASA et VPN. Il détient un baccalauréat en Technologie de l'Information. De plus, il est CCIE en Sécurité (CCIE # 58938). Il a été un contributeur constant dans la Communauté Cisco et a conduit plusieurs sessions au Cisco Live.

jonnoble.jpgJonny Noble dirige l'équipe Technique Marketing pour Cloud Security chez Cisco, avec une expertise dans Cisco Umbrella et les technologies environnantes. Depuis plus de 20 ans, Jonny a acquis une expérience dans les disciplines orientées aux clients pour diverses organisations mondiales hi-tech. Il possède également une riche expérience dans la présentation de sessions et de laboratoires de surveillance lors d'événements Cisco Live, ainsi que dans nombreux événements, salons et expositions pour les clients et partenaires. Jonny détient des diplômes en Électronique, Sociologie, un MBA en Affaires et est certifié CISSP.

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : VPN, ASA, Firepower, FTD, AnyConnect, Duo, Umbrella, WFO, licenses et meilleures pratiques.

Posez vos questions du 20 mars au 3 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

77 RÉPONSES 77

Salut,
Toutes les directives de dépannage des requêtes DNS, pour la résolution des DNS locaux, sont toujours pénibles lors de la connexion avec VPN AnyConnect.
Merci

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour,
Êtes-vous confronté à des problèmes de résolution DNS locale via le tunnel VPN ?
Si oui, vous pouvez vérifier les attributs du group-policy pour la valeur spécifique.

Si vous recherchez les meilleures pratiques, vous pouvez configurer les trois options suivantes pour DNS avec AnyConnect :

  • Fractionner DNS (Split DNS) - Les requêtes DNS qui correspondent aux noms de domaine sont configurées sur l'appliance de sécurité adaptable Cisco (ASA). Ils se déplacent à travers le tunnel (vers les serveurs DNS définis sur l'ASA, par exemple) tandis que d'autres ne le font pas.
  • Tunnel-all-DNS - Seul le trafic DNS vers les serveurs DNS définis par l'ASA est autorisé. Ce paramètre est configuré dans le group-policy.
  • DNS standard - Toutes les requêtes DNS transitent par les serveurs DNS définis par l'ASA. En cas de réponse négative, les requêtes DNS peuvent également être envoyées aux serveurs DNS configurés sur l'adaptateur physique.

Vous pouvez également vérifier le lien suivant pour plus de clarté sur le comportement DNS avec AnyConnect:
https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116016-technote-AnyConnect-00.html#anc1

Cordialement, Aditya

Salut,
Merci pour la réponse

"Fractionner DNS (Split DNS) - Les requêtes DNS qui correspondent aux noms de domaine sont configurées sur l'appliance de sécurité adaptable Cisco (ASA). Ils se déplacent à travers le tunnel (vers les serveurs DNS définis sur l'ASA, par exemple) tandis que d'autres ne le font pas."

Lorsque vous dites "Serveurs DNS définis sur l'ASA", le serveur DNS est configuré sur le pare-feu ASA ou dans le tunnel ou le group-policy ? "Les requêtes DNS qui correspondent aux noms de domaine", vous voulez dire que le nom de domaine est configuré sur le pare-feu ou dans le group-policy ?

Et si nous avons un domaine divisé comme test.local et test.com ?
test.com (c'est une zone avant dans le même serveur DNS test.local , par exemple: 192.168.1.100)
test.com résout également les adresses IP privées

c'est ma configuration actuelle
dns domain-lookup Inside
dns server-group DefaultDNS
name-server 192.168.1.100
domain-name test.local

Merci

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour,
Toutes les valeurs seraient sous la politique de groupe (group-policy). Vous pouvez ajouter plusieurs valeurs / domaines sous la stratégie de groupe.
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s16.html#pgfId-1597902

Merci

Salut,

Merci pour la réponse.

J'ai essayé tous les split-dns, standard, tunnel tous les dns ... Je ne peux toujours pas résoudre (le serveur DNS est accessible depuis le serveur). J'utilise anyconnect 4.8 et asa code 9.2

Veuillez s'il vous plaît partager votre avis.

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Pouvez-vous partager la sortie de show run group-policy <policy-name>?

Cordialement,
Aditya

Salut,

Voici mon sh run group policy

1)
group-policy it-test internal
group-policy it-test attributes
dns-server value 192.168.1.100
vpn-idle-timeout 20
vpn-tunnel-protocol ikev1 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test-acl
default-domain value test.local
address-pools value it-test-pool

2 )
group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool

J'ai essayé ci-dessous également après avoir supprimé "split-tunnel-all-dns disable" mais cela n'a pas aidé.
3 )
group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool

Merci

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Veuillez désactiver / supprimer la configuration DNS partagée de tunnel "tunnel-all split dns config" et conservez les valeurs "split-dns", assurez-vous également que les serveurs DNS (IP) font partie de l'ACL du tunnel partagé.

Pour confirmer les recherches " lookups" DNS (si elles passent par AnyConnect) vous pouvez utiliser Wireshark, démarrez une capture sur la machine et vérifiez vers quel adaptateur les requêtes DNS passent.

Veuillez partager la sortie "ipconfig / all" de la machine test et les captures si possible.

Cordialement,
Aditya

Salut Aditya Ganjoo

"Veuillez désactiver / supprimer la configuration DNS partagée de tunnel "tunnel-all split dns config" et conservez les valeurs "split-dns", assurez-vous également que les serveurs DNS (IP) font partie de l'ACL du tunnel partagé."

  • Le sous-réseau désactivé et complet est (192.168.1.0/24) qui fait partie du split tunnel ACL.

"Pour confirmer les recherches " lookups" DNS (si elles passent par AnyConnect) vous pouvez utiliser Wireshark, démarrez une capture sur la machine et vérifiez vers quel adaptateur les requêtes DNS passent."

  • Oui, ça passe par AnyConnect.

"Veuillez partager la sortie "ipconfig / all" de la machine test et les captures si possible."

  • Voir fichier attaché.

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Je peux voir les requêtes atteindre le serveur DNS mais cela vous renvoie une erreur de serveur:

Standard query response, Server failure

Vous avez dit que cela fonctionne bien lorsque vous n'êtes pas sur AnyConnect.
Si possible, veuillez nous partager des captures pour celle qui fonctionne.

Cordialement,
Aditya

Salut Aditya Ganjoo

Merci pour ta réponse.

Ce que je veux dire par "cela fonctionne quand je suis sur AnyConnect", c'est que, si je supprime "split-dns value test.com" il va au DNS public (ISP) via l'adaptateur physique et l'adresse IP publique.
Et le serveur DNS interne travaillant à partir de notre réseau local LAN (je peux partager la capture de paquets aussi)

Pouvez-vous me dire pourquoi l'adresse mac AnyConnect est affichée comme 00:11:22:33:44:55 ?

Merci

mac.JPG

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

L'adresse MAC correspond à l'adresse IP de destination, votre prochain saut.
L'adresse MAC pour AC est 0-05-9A-3C-7A-00.

"Le pilote AnyConnect n'interfère pas avec le résolveur DNS natif. Par conséquent, la résolution DNS est effectuée en fonction de l'ordre des adaptateurs réseau où AnyConnect est toujours l'adaptateur préféré lorsque le VPN est connecté. De plus, une requête DNS est d'abord envoyée via le tunnel et si il n'est pas résolu, le résolveur essaie de le résoudre via une interface publique. La liste d'accès split-include inclut le sous-réseau qui couvre le(s) serveur(s) DNS Tunnel. Pour commencer avec AnyConnect 4.2, les routes d'hôte pour le serveur DNS Tunnel(s) sont automatiquement ajoutés en tant que réseaux à inclusion fractionnée (routes sécurisées) par le client AnyConnect, et par conséquent, la liste d'accès à inclusion fractionnée ne nécessite plus l'ajout explicite du sous-réseau dans le tunnel du serveur DNS."

Je pense que cela se produit dans votre cas.

Cordialement,
Aditya

Salut Aditya Ganjoo

Merci pour votre réponse.

J'ai supprimé le sous-réseau d'ACL, mais cela donne le même problème.
À partir de l'analyse de capture Wireshark, la requête DNS répond avec une erreur ?

Lorsque vous dites "L'adresse MAC est pour l'IP de destination, votre prochain saut."
Ce pourrait être l'interface de pare-feu ASA ?

Merci

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Cela doit être vérifié, je ne pense pas que ce soit l'adresse MAC d'ASA. J'ai cherché l'adresse MAC et il me semble que l'appareil soit basé sur CIMSYS Inc.

Cordialement,
Aditya