購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1008
閲覧回数
0
いいね!
0
コメント

Umbrella: OpenDNS Updater の IP ミスマッチ エラーについて

tkitahar
Cisco Employee
Cisco Employee

‎2023-01-12 01:15 PM

 

2023 1 12 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、OpenDNS Updater を使用している際に発生する IP アドレスのミスマッチに関するエラー メッセージについて説明します。

 

2. OpenDNS Updater とは

 

OpenDNS Updater とは、アイデンティティとしてネットワーク (グローバル IP アドレス) を使用している環境において、ネットワーク環境のグローバル IP アドレスが動的に変化したことを検知し、Umbrella Dashboard に登録された IP アドレスを自動的に更新するソフトウェアです。

 

※ このソフトウェアの名称は、Cisco Umbrella のフリー版ともいえる「OpenDNS」に由来しており、Cisco Umbrella でも同様に利用できます

 

以下のサポート文書からインストーラーをダウンロードすることが可能です。

 

What is the OpenDNS Dynamic IP updater client?

https://support.opendns.com/hc/en-us/articles/227987867-What-is-the-OpenDNS-Dynamic-IP-updater-client-

 

OpenDNS Updater を対象のネットワーク環境内にある PC にインストールし、起動すると、まず、OpenDNS へのサインインが求められますので、普段 Umbrella Dashboard にサインインする際に使うアカウントでサインインします。

 

そのアカウントが属する組織に、複数のネットワークが登録されている場合、「Select network」という画面が表示されますので、自動更新したいネットワークを選択します。

 

その後、OpenDNS Updater のメイン画面が表示され、自動的に IP アドレスの更新が行われますが、画面下部に何らかのエラー メッセージが赤字で表示された場合、自動更新に失敗したことを示します。

 

次項では、以下の画像のような IP アドレスのミスマッチを示すエラー メッセージが表示され、自動更新に失敗した場合の対処方法について説明します。

 

tkitahar_0-1673493921483.png

 

なお、以下の画像は Umbrella Dashboard の導入 > コアアイデンティティ > ネットワーク画面ですが、自動更新が正しく行われるには「ダイナミック」の欄にチェックが入っている必要があります。

 

tkitahar_1-1673493940304.png

 

OpenDNS Updater の詳しい使い方については、以下のサポート文書も併せて参照してください。

 

How to configure the OpenDNS Dynamic IP Updater Client?

https://support.opendns.com/hc/en-us/articles/227987807-How-to-configure-the-OpenDNS-Dynamic-IP-updater-Client-

 

3. IP アドレスのミスマッチ エラーについて

 

OpenDNS Updater の自動更新には 2 種類のグローバル IP アドレスが関わっており、これらの IP アドレスがミスマッチ (不一致) の場合、前述のエラー メッセージが表示され、自動更新に失敗します。

 

まず「DNS IP アドレス」についてですが、これは OpenDNS Updater によって調べられた現在のグローバル IP アドレスを指します。

 

グローバル IP アドレスを調べる方法にはいくつかありますが、OpenDNS Updater では myip.opendns.com という特殊なドメインの A レコードを Umbrella DNS サーバー (208.67.222.222/208.67.220.220) に対してリクエストする方法を使用します。

 

これにより、Umbrella DNS サーバーはリクエスト パケットの送信元 IP アドレスなどを確認し、レスポンスとして現在のグローバル IP アドレスを OpenDNS Updater に返します。

 

※ Umbrella 以外の DNS サーバーに同様のリクエストを送っても、同じようなレスポンスは得られません

 

一方で、「HTTP IP アドレス」についてですが、OpenDNS Updater は、前述の方法でグローバル IP アドレスを調べた後、updates.opendns.com というクラウド上の Umbrella API サーバーに対して、グローバル IP アドレスの更新内容を送信しますが、この API サーバーが受け取った時の HTTP/S リクエストの送信元 IP アドレスを指します。

 

通常であれば、DNS リクエストも HTTP/S リクエストも同一のネットワーク (グローバル IP アドレス) から送られるものであり、OpenDNS Updater もそれを前提に実装されています。

 

そのため、IP アドレスがミスマッチの場合は、何らかの不正利用をしているものとみなし、自動更新に失敗します。

 

この事象が発生する一番の原因として、HTTP/S 通信に何らかのプロキシ サーバー (オンプレミス、クラウド、透過、非透過問わず) を使用していることが挙げられます。

 

もし、プロキシ サーバーが別のネットワーク上 (別のグローバル IP アドレス) に構築されており、OpenDNS Updater の HTTP/S リクエストがプロキシ サーバー経由で API サーバーへ送られている場合、IP アドレスのミスマッチが発生します。

 

そのため、本事象の対処方法としては、updates.opendns.com への TCP 80/443 通信は、プロキシ サーバーを経由しないように設定することになります。

 

また、同一ネットワーク内にプロキシ サーバーを使用していない PC が存在するのであれば、そちらに OpenDNS Updater をインストールすることでも対処可能です。

 

4. ネットワーク トンネル使用時について

 

組織内のトラフィックをネットワークトンネルを通して Umbrella へ送信する設定をしている場合、OpenDNS Updater をインストールしている PC がプロキシ サーバーを利用していなくても、当該のエラー メッセージが表示される場合があります。

 

これは、前述の HTTP/S 通信がネットワークトンネルを経由して Umbrella 側に送られた際、Umbrella のクラウド環境内で送信元 IP アドレスが NAT 変換されるためです。

 

※ グローバル IP を調べる DNS リクエストに関しては、Umbrella 側で NAT 変換されたとしても、組織のグローバル IP アドレスを返す仕組みが用意されています

 

そのため、このような環境における対処方法としては、ネットワークトンネルを形成する組織側のネットワーク機器で、ユーザーから送られてきた updates.opendns.com への TCP 80/443 通信がトンネルを経由しない (つまり直接アクセスする) ように設定することになります。

 

また、同一ネットワーク内にネットワークトンネルを使用していない PC が存在するのであれば、そちらに OpenDNS Updater をインストールすることでも対処可能です。

ラベル:
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents