Ei pessoal,
Começamos a ter problemas do nada com nosso VPN RA.
Os usuários não conseguem se conectar, recebendo o erro:
“Falha na conexão VPN devido a resolução DNS malsucedida”
Alguns usuários reinstalaram o Anyconnect sem o módulo Umbrella e funcionou para eles. Quando usam o endereço IP público ao invés da URL, funciona perfeitamente.
Portanto, é um problema de DNS relacionado ao Umbrella talvez, mas, para ser honesto, não tenho certeza de onde começar a solucionar esse problema.
Qualquer ajuda será muito apreciada, obrigado a todos!
Duas coisas para verificar.
- túnel dividido? Você está permitindo que eles acessem o DNS diretamente?
- Se não for o túnel dividido, você está permitindo que a subrede do VPN consulte tcp/udp 53 para pesquisa de DNS?
Tente desativar o Umbrella. Estou tentando solucionar um problema com o Facebook que não carrega em vários pontos finais.
Se desativar o Umbrella, a página carrega sem problemas. Tentei fazer uma captura de pacotes e listei várias domínios que estavam expirando e ainda sem resolução.
Desativar o Umbrella é atualmente a única maneira de fazer o Facebook funcionar.
Provavelmente DHCPv6 na LAN, o Win10 prefere resolver com v6 por padrão, tive alguns usuários com determinados ISP que não resolviam nossos domínios por algum motivo com o DNS v6 fornecido pelo ISP, os que sabiam o que estavam fazendo, fui orientando a desativar, mas outros, simplesmente desativei o IPv6 completamente (você pode editar o registro para resolver primeiro via IPv4, mas isso tende a se reverter com atualizações).
Isso também está acontecendo conosco. Anos atrás, fomos clientes do Umbrella. Nunca removemos o módulo de segurança móvel das nossas implantações do AnyConnect, e agora ele está voltando para nos prejudicar.
Se você instalar apenas o AnyConnect, parece funcionar bem.
Mais um motivo para nos afastar completamente da Cisco.
O que dizem os registros do Umbrella? Você consegue fazer uma consulta NSLookup bem-sucedida com o Umbrella ativado?
Já vi problemas em endpoints roaming ao alternar entre conexão com fio e sem fio. Verifique a NIC e certifique-se de que as configurações do servidor DNS não estejam definidas para o endereço de loopback 127.0.0.1.
Se ainda não foi feito, como mencionado aqui, certifique-se de que o TCP53 esteja aberto para DNS (não apenas UDP), pois os clientes mais recentes do AnyConnect exigem isso. Sem isso, surgem problemas de DNS para alguns sites.
Não há túnel dividido, e sim o tráfego DNS é permitido na subrede.
Na verdade, estava funcionando muito bem.
Você consegue colocar domínios na lista de permissões do Umbrella?
Concordo, também não gosto do Anyconnect, ele causa mais problemas do que tudo o resto combinado.
Os usuários conseguem fazer uma consulta DNS para 8.8.8.8 ou Umbrella com nslookup?
Eles conseguem, porém, não podem fazer ping no URL que usamos para o VPN.
Usando o IP, funciona perfeitamente.
Faça um tracert e veja para onde ele está indo e por que está falhando.