服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用Cisco AnyConnect VPN连接的DNS“recursion不可用”
Intereting Posts
为不同的子目录提供一组特定的错误页面 在HP Proliant DL380 G4中使用备用驱动器 如何在SpamAssassin中编辑不良字词filter? 在Windows 2012 R2上安装.Net 3.5 关于在Linux中使用cron来安排我的python程序 如何监视openwrt中的networking活动 Acrobat Reader XI插件在Windows域中的Internet Explorer中定期禁用 什么是truecrypt文件的最大支持的大小? 如何在Microsoft Azure云平台上上传自己的OS ISO? ubuntu上的VLAN 在Windows 2008 R2计算机上缺lessTelnet命令 NGinxconfiguration多个自定义登陆页面 电脑locking时密码错误 PHP虚拟主机:如何防止客户端DOS / DDOS? 注册商名称服务器与裸露域的NSlogging?

使用Cisco AnyConnect VPN连接的DNS“recursion不可用”

有没有人有configurationCisco AnyConnect VPN的经验? 通过VPN连接时,客户端DNS名称parsing存在问题。

对我来说,看起来好像Cisco AnyConnect VPN客户端拦截来自客户端的DNS查询。

  1. 有人可以证实AnyConnect VPN客户端实际上这样做(截获DNSstream量)吗?
  2. 在VPN服务器上configuration的位置在哪里?

编辑:

下面是连接到VPN时路由表的变化: 

[~] $ diff -u /tmp/route_normal /tmp/route_vpn --- /tmp/route_normal 2010-01-20 19:23:47.000000000 +0100 +++ /tmp/route_vpn 2010-01-20 19:24:46.000000000 +0100 @@ -1,6 +1,10 @@ Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface +xxx.xxx.xx.xx.i 10.0.0.1 255.255.255.255 UGH 0 0 0 ath0 172.16.53.0 * 255.255.255.0 U 0 0 0 vmnet1 10.0.0.0 * 255.255.255.0 U 0 0 0 ath0 +172.17.20.0 * 255.255.255.0 U 0 0 0 cscotun 0 +192.168.111.0 172.17.20.212 255.255.255.0 UG 0 0 0 cscotun 0 172.16.140.0 * 255.255.255.0 U 0 0 0 vmnet8 +172.16.0.0 172.17.20.212 255.255.0.0 UG 0 0 0 cscotun 0 default 10.0.0.1 0.0.0.0 UG 0 0 0 ath0

编辑2:

IT人员已经在VPN端点上做了一些事情。 现在我在做nslookup时得到“recursion不可用”。 DNS服务器已启用recursion。 所以它一定是思科VPN DNS拦截搞砸了。 

 ubuntu@domU-12-31-39-00-ED-14:~$ /opt/cisco/vpn/bin/vpn connect xxx.xxxxxx.xx ... >> Please enter your username and password ... >> notice: Establishing VPN... >> state: Connected >> notice: VPN session established to ... ubuntu@domU-12-31-39-00-ED-14:~$ nslookup www.vg.no ;; Got recursion not available from ..., trying next server ;; Got recursion not available from ..., trying next server ;; Got recursion not available from ..., trying next server ;; Got recursion not available from ..., trying next server Server: 172.16.0.23 Address: 172.16.0.23#53 ** server can't find www.vg.no.compute-1.internal: REFUSED ubuntu@domU-12-31-39-00-ED-14:~$ ping 195.88.55.16 PING 195.88.55.16 (195.88.55.16) 56(84) bytes of data. 64 bytes from 195.88.55.16: icmp_seq=1 ttl=240 time=110 ms 64 bytes from 195.88.55.16: icmp_seq=2 ttl=240 time=111 ms 64 bytes from 195.88.55.16: icmp_seq=3 ttl=240 time=109 ms ^C --- 195.88.55.16 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2017ms rtt min/avg/max/mdev = 109.953/110.379/111.075/0.496 ms

正如在评论中提到的那样,先找出你的分割隧道(路由)。 terminal(集中器,ASA,PIX等)pipe理员通常完全控制客户如何处理这个问题。 一些公司只会隧道(因此你的客户的DNS将通过ISP),一些公司需要通过链路隧道传输所有的stream量(所以DNS将通过链接到公司)。 这是大部分时间的业务/ IT决策。

在客户端的路由表上查看峰值,查看网关的类似情况以及stream量在特定实例中的路由位置,以便为debugging提供起点。 然后,您可以尝试使用TCPview(如果您的客户端是Windows)input软件来观看比特位置,则可以尝试从公共资源(例如Google的新DNS事件)直接查看结果是什么。

当您的DNS请求击中内部DNS服务器时,请检查使用什么明显的源IP地址。

很可能服务器已经被configuration为仅为来自已知内部IP地址的请求提供recursion服务,否则仅为在同一服务器上托pipe的某些域名提供权威服务。

如果你的DNS请求似乎来自一个非networkingIP地址,那么他们只会得到权威的答案,而不是recursion的。