Bonjour,
Êtes-vous confronté à des problèmes de résolution DNS locale via le tunnel VPN ?
Si oui, vous pouvez vérifier les attributs du group-policy pour la valeur spécifique.

Si vous recherchez les meilleures pratiques, vous pouvez configurer les trois options suivantes pour DNS avec AnyConnect :

• Fractionner DNS (Split DNS) - Les requêtes DNS qui correspondent aux noms de domaine sont configurées sur l'appliance de sécurité adaptable Cisco (ASA). Ils se déplacent à travers le tunnel (vers les serveurs DNS définis sur l'ASA, par exemple) tandis que d'autres ne le font pas.
• Tunnel-all-DNS - Seul le trafic DNS vers les serveurs DNS définis par l'ASA est autorisé. Ce paramètre est configuré dans le group-policy.
• DNS standard - Toutes les requêtes DNS transitent par les serveurs DNS définis par l'ASA. En cas de réponse négative, les requêtes DNS peuvent également être envoyées aux serveurs DNS configurés sur l'adaptateur physique.

Vous pouvez également vérifier le lien suivant pour plus de clarté sur le comportement DNS avec AnyConnect:
https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116016-technote-AnyConnect-00.html#anc1

Cordialement, Aditya

Salut,
Merci pour la réponse

"Fractionner DNS (Split DNS) - Les requêtes DNS qui correspondent aux noms de domaine sont configurées sur l'appliance de sécurité adaptable Cisco (ASA). Ils se déplacent à travers le tunnel (vers les serveurs DNS définis sur l'ASA, par exemple) tandis que d'autres ne le font pas."
Lorsque vous dites "Serveurs DNS définis sur l'ASA", le serveur DNS est configuré sur le pare-feu ASA ou dans le tunnel ou le group-policy ? "Les requêtes DNS qui correspondent aux noms de domaine", vous voulez dire que le nom de domaine est configuré sur le pare-feu ou dans le group-policy ?

Et si nous avons un domaine divisé comme test.local et test.com ?
test.com (c'est une zone avant dans le même serveur DNS test.local , par exemple: 192.168.1.100)
test.com résout également les adresses IP privées

c'est ma configuration actuelle
dns domain-lookup Inside
dns server-group DefaultDNS
name-server 192.168.1.100
domain-name test.local

Merci

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour,
Toutes les valeurs seraient sous la politique de groupe (group-policy). Vous pouvez ajouter plusieurs valeurs / domaines sous la stratégie de groupe.
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s16.html#pgfId-1597902

Merci

Salut,

Merci pour la réponse.

J'ai essayé tous les split-dns, standard, tunnel tous les dns ... Je ne peux toujours pas résoudre (le serveur DNS est accessible depuis le serveur). J'utilise anyconnect 4.8 et asa code 9.2

Veuillez s'il vous plaît partager votre avis.

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Pouvez-vous partager la sortie de show run group-policy <policy-name>?

Cordialement,
Aditya

Salut,

Voici mon sh run group policy

1)
group-policy it-test internal
group-policy it-test attributes
dns-server value 192.168.1.100
vpn-idle-timeout 20
vpn-tunnel-protocol ikev1 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test-acl
default-domain value test.local
address-pools value it-test-pool

2 )
group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool

J'ai essayé ci-dessous également après avoir supprimé "split-tunnel-all-dns disable" mais cela n'a pas aidé.
3 )
group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool

Merci

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Veuillez désactiver / supprimer la configuration DNS partagée de tunnel "tunnel-all split dns config" et conservez les valeurs "split-dns", assurez-vous également que les serveurs DNS (IP) font partie de l'ACL du tunnel partagé.

Pour confirmer les recherches " lookups" DNS (si elles passent par AnyConnect) vous pouvez utiliser Wireshark, démarrez une capture sur la machine et vérifiez vers quel adaptateur les requêtes DNS passent.

Veuillez partager la sortie "ipconfig / all" de la machine test et les captures si possible.

Cordialement,
Aditya

Salut Aditya Ganjoo

"Veuillez désactiver / supprimer la configuration DNS partagée de tunnel "tunnel-all split dns config" et conservez les valeurs "split-dns", assurez-vous également que les serveurs DNS (IP) font partie de l'ACL du tunnel partagé."

• Le sous-réseau désactivé et complet est (192.168.1.0/24) qui fait partie du split tunnel ACL.

"Pour confirmer les recherches " lookups" DNS (si elles passent par AnyConnect) vous pouvez utiliser Wireshark, démarrez une capture sur la machine et vérifiez vers quel adaptateur les requêtes DNS passent."

• Oui, ça passe par AnyConnect.

"Veuillez partager la sortie "ipconfig / all" de la machine test et les captures si possible."

• Voir fichier attaché.

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Je peux voir les requêtes atteindre le serveur DNS mais cela vous renvoie une erreur de serveur:

Standard query response, Server failure

Vous avez dit que cela fonctionne bien lorsque vous n'êtes pas sur AnyConnect.
Si possible, veuillez nous partager des captures pour celle qui fonctionne.

Cordialement,
Aditya

Salut Aditya Ganjoo

Merci pour ta réponse.

Ce que je veux dire par "cela fonctionne quand je suis sur AnyConnect", c'est que, si je supprime "split-dns value test.com" il va au DNS public (ISP) via l'adaptateur physique et l'adresse IP publique.
Et le serveur DNS interne travaillant à partir de notre réseau local LAN (je peux partager la capture de paquets aussi)

Pouvez-vous me dire pourquoi l'adresse mac AnyConnect est affichée comme 00:11:22:33:44:55 ?

Merci

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

L'adresse MAC correspond à l'adresse IP de destination, votre prochain saut.
L'adresse MAC pour AC est 0-05-9A-3C-7A-00.

"Le pilote AnyConnect n'interfère pas avec le résolveur DNS natif. Par conséquent, la résolution DNS est effectuée en fonction de l'ordre des adaptateurs réseau où AnyConnect est toujours l'adaptateur préféré lorsque le VPN est connecté. De plus, une requête DNS est d'abord envoyée via le tunnel et si il n'est pas résolu, le résolveur essaie de le résoudre via une interface publique. La liste d'accès split-include inclut le sous-réseau qui couvre le(s) serveur(s) DNS Tunnel. Pour commencer avec AnyConnect 4.2, les routes d'hôte pour le serveur DNS Tunnel(s) sont automatiquement ajoutés en tant que réseaux à inclusion fractionnée (routes sécurisées) par le client AnyConnect, et par conséquent, la liste d'accès à inclusion fractionnée ne nécessite plus l'ajout explicite du sous-réseau dans le tunnel du serveur DNS."

Je pense que cela se produit dans votre cas.

Cordialement,
Aditya

Salut Aditya Ganjoo

Merci pour votre réponse.

J'ai supprimé le sous-réseau d'ACL, mais cela donne le même problème.
À partir de l'analyse de capture Wireshark, la requête DNS répond avec une erreur ?

Lorsque vous dites "L'adresse MAC est pour l'IP de destination, votre prochain saut."
Ce pourrait être l'interface de pare-feu ASA ?

Merci

* Voici la traduction d'un message créé à l'origine par elite2010 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Cela doit être vérifié, je ne pense pas que ce soit l'adresse MAC d'ASA. J'ai cherché l'adresse MAC et il me semble que l'appareil soit basé sur CIMSYS Inc.

Cordialement,
Aditya