Interop tussen AnyConnect en de OpenDNS-roamingclient

Downloadopties

  • PDF     (300.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (111.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (100.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 maart 2016
Document-id:200395

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document worden enkele van de huidige beperkingen en beschikbare tijdelijke oplossingen beschreven om AnyConnect en de OpenDNS-roamingclient samen te laten werken. Cisco-klanten vertrouwen op de AnyConnect VPN-client voor beveiligde en versleutelde communicatie met hun bedrijfsnetwerken. Op dezelfde manier geeft de OpenDNS Roaming-client gebruikers de mogelijkheid om DNS-services veilig te gebruiken met behulp van OpenDNS-openbare servers. Beide cliënten voegen een rijke reeks veiligheidseigenschappen op het eindpunt toe, en daarom is het belangrijk voor hen om met elkaar te interageren.

Voorwaarden

Werkkennis van de AnyConnect en OpenDNS-roamingclient.

Bekendheid met ASA of IOS/IOS-XE head-end configuratie (tunnelgroep/groepsbeleid) voor AnyConnect VPN.

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • ASA voor IOS/IOS-XE head-end switch
  • Endpoint voor het uitvoeren van de AnyConnect VPN-client en OpenDNS-roamingclient

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • ASA head-end hardlooprelease 9.4
  • Windows 7
  • AnyConnect-client 4.2.00096
  • OpenDNS-roamingclient 2.0.154

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

OpenDNS ontwikkelt een AnyConnect-plug-in met het Cisco AnyConnect-team zodat deze in de toekomst beschikbaar is. Hoewel er geen datums zijn ingesteld, kan de roamende client dankzij deze integratie met de AnyConnect-client werken zonder dat de omzeilingen worden aangepakt. Hierdoor kan AnyConnect ook een leveringssysteem voor de roamende client worden. 

Functionaliteit

AnyConnect DNS-verwerking


De VPN head-end kan op een paar verschillende manieren worden geconfigureerd om verkeer van de AnyConnect-client te verwerken.

  1. Volledige tunnelconfiguratie (tunnelall): dit dwingt al het verkeer van het eindpunt om over de VPN-tunnel te worden verzonden, en daarom verlaat verkeer nooit de openbare interfaceadapter in duidelijke tekst
  2. Configuratie van split-tunneling:

a. Split-include-tunneling: verkeer dat alleen bestemd is voor specifieke subnetten of hosts die op de VPN-head-end zijn gedefinieerd, wordt over de tunnel verzonden, al het andere verkeer wordt buiten de tunnel in duidelijke tekst verzonden

b. Tunneling splitsen-uitsluiten: verkeer dat alleen bestemd is voor specifieke subnetten of hosts die op de VPN-head-end zijn gedefinieerd, wordt niet versleuteld en verlaat de openbare interface in duidelijke tekst, al het andere verkeer wordt versleuteld en alleen verzonden over de tunnel


Elk van deze configuraties bepaalt hoe DNS-resolutie wordt verwerkt door de AnyConnect-client, afhankelijk van het besturingssysteem op het eindpunt. Er is een verandering in gedrag in het DNS behandelingsmechanisme op AnyConnect voor Windows, in versie 4.2 na de correctie voor CSCuf07885.


Windows 7+

Tunnel-alle configuratie (en split-tunneling met tunnel-alle DNS ingeschakeld)


Pre AnyConnect 4.2:

Alleen DNS-verzoeken naar DNS-servers die zijn geconfigureerd onder het groepsbeleid (tunnelDNS-servers) zijn toegestaan. Het AnyConnect-stuurprogramma reageert op alle andere verzoeken met een 'geen dergelijke naam'-antwoord. Daarom kan DNS-resolutie alleen worden uitgevoerd met de DNS-tunnelservers.


AnyConnect 4.2 +

DNS-verzoeken naar DNS-servers zijn toegestaan, zolang ze afkomstig zijn van de VPN-adapter en over de tunnel worden verzonden. Alle andere verzoeken worden beantwoord met 'geen dergelijke naam' antwoord, en DNS-resolutie kan alleen worden uitgevoerd via de VPN-tunnel

Voorafgaand aan CSCuf07885 fix, AC beperkt de doel DNS servers, maar met de fix voor CSCuf07885 beperkt het welke netwerkadapters DNS verzoeken kunnen initiëren.


Splitsen-inclusief configuratie (tunnel-alle DNS uitgeschakeld en geen splitsen-DNS)

AnyConnect-stuurprogramma interfereert niet met de native DNS-oplosser. Daarom wordt DNS-resolutie uitgevoerd op basis van de volgorde van netwerkadapters en AnyConnect is altijd de voorkeursadapter wanneer VPN is verbonden. Zo zal een DNS vraag eerst via de tunnel worden verzonden en als het niet wordt opgelost, zal de resolver proberen om het via de openbare interface op te lossen. In de gesplitste lijst met toegangsrechten moet het subnetnummer van de tunnelDNS-server(s) worden opgenomen. Vanaf AnyConnect 4.2 worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom vereist de split-include-toegangslijst geen expliciete toevoeging van de tunnel-DNS-serversubnett meer.


Configuratie splitsen-uitsluiten (tunnel-alle DNS uitgeschakeld en geen splitsen-DNS)

AnyConnect-stuurprogramma interfereert niet met de native DNS-oplosser. Daarom wordt DNS-resolutie uitgevoerd op basis van de volgorde van netwerkadapters en AnyConnect is altijd de voorkeursadapter wanneer VPN is verbonden. Zo zal een DNS vraag eerst via de tunnel worden verzonden en als het niet wordt opgelost, zal de resolver proberen om het via de openbare interface op te lossen. De gesplitste toegangslijst met uitsluitingen mag niet de subnetserver(s) van de tunnelDNS bevatten. Vanaf AnyConnect 4.2 worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom wordt verkeerde configuratie in de splitsen-uitsluiten-toegangslijst voorkomen.


Split-DNS (tunnel-alle DNS uitgeschakeld, splitsen-omvatten geconfigureerd)


Pre AnyConnect 4.2

DNS-verzoeken die overeenkomen met de split-dns-domeinen mogen DNS-servers tunnelen, maar zijn niet toegestaan op andere DNS-servers. Om te voorkomen dat dergelijke interne DNS-vragen de tunnel uitlekken, reageert het AnyConnect-stuurprogramma met 'geen dergelijke naam' als de query naar andere DNS-servers wordt verzonden. Zo kunnen split-dns domeinen alleen worden opgelost via de tunnel DNS servers.

DNS-verzoeken die niet overeenkomen met de splitsen-dns-domeinen zijn toegestaan aan andere DNS-servers, maar niet aan tunneling van DNS-servers. Zelfs in dit geval reageert het AnyConnect-stuurprogramma met 'geen dergelijke naam' als via de tunnel wordt geprobeerd een zoekopdracht uit te voeren voor non-split-dns-domeinen. Dus kunnen niet-split-dns-domeinen alleen worden opgelost via openbare DNS-servers buiten de tunnel.


AnyConnect 4.2 +

DNS-verzoeken die overeenkomen met de splitsen-dns-domeinen zijn toegestaan op alle DNS-servers, zolang ze afkomstig zijn van de VPN-adapter. Als de query afkomstig is van de openbare interface, AnyConnect-stuurprogramma reageert met een 'nee dergelijke naam' om de resolutor te dwingen altijd de tunnel te gebruiken voor naamresolutie. Zo kunnen split-dns domeinen alleen worden opgelost via de tunnel.

DNS-verzoeken die niet overeenkomen met de split-dns-domeinen zijn toegestaan aan DNS-servers zolang ze afkomstig zijn van de fysieke adapter. Als de query afkomstig is van de VPN-adapter, reageert AnyConnect met 'geen dergelijke naam' om de resolver te dwingen altijd naamresolutie te proberen via de openbare interface. Dus kunnen niet-gesplitste domeinen alleen worden opgelost via de publieke interface.

Mac OS X

Tunnel-alle configuratie (en split-tunneling met tunnel-alle DNS ingeschakeld)

Wanneer AnyConnect is verbonden, worden alleen tunnelDNS-servers onderhouden in de systeem-DNS-configuratie en kunnen DNS-verzoeken daarom alleen worden verzonden naar de tunnelDNS-server(s).

Splitsen-inclusief configuratie (tunnel-alle DNS uitgeschakeld en geen splitsen-DNS)

AnyConnect interfereert niet met de native DNS-oplosser. De tunnelDNS-servers worden geconfigureerd als voorkeursresolvers, waarbij voorrang wordt genomen op openbare DNS-servers, waardoor wordt gewaarborgd dat het initiële DNS-verzoek om een naamresolutie via de tunnel wordt verzonden. Aangezien DNS-instellingen op Mac OS X algemeen zijn, is het niet mogelijk voor DNS-vragen om openbare DNS-servers buiten de tunnel te gebruiken, zoals gedocumenteerd in CSCtf20226 . Vanaf AnyConnect 4.2 worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom vereist de split-include-toegangslijst geen expliciete toevoeging van de tunnel-DNS-serversubnett meer.


Configuratie splitsen-uitsluiten (tunnel-alle DNS uitgeschakeld en geen splitsen-DNS)


AnyConnect interfereert niet met de native DNS-oplosser. De tunnelDNS-servers worden geconfigureerd als voorkeursresolvers, waarbij voorrang wordt genomen op openbare DNS-servers, waardoor wordt gewaarborgd dat het initiële DNS-verzoek om een naamresolutie via de tunnel wordt verzonden. Aangezien DNS-instellingen op Mac OS X algemeen zijn, is het niet mogelijk voor DNS-vragen om openbare DNS-servers buiten de tunnel te gebruiken, zoals gedocumenteerd in CSCtf20226 . Vanaf AnyConnect 4.2 worden hostroutes voor de Tunnel DNS-server(s) automatisch toegevoegd als split-include-netwerken (beveiligde routes) door de AnyConnect-client, en daarom vereist de split-include-toegangslijst geen expliciete toevoeging van de tunnel-DNS-serversubnett meer.


Split-DNS (tunnel-alle DNS uitgeschakeld, splitsen-omvatten geconfigureerd)


Als split-DNS is ingeschakeld voor zowel IP-protocollen (IPv4 als IPv6) of alleen voor één protocol en er is geen adrespool geconfigureerd voor het andere protocol:
Echte split-DNS, vergelijkbaar met Windows, wordt afgedwongen. Ware split-DNS betekent dat verzoeken die overeenkomen met de split-DNS-domeinen alleen worden opgelost via de tunnel, ze worden niet uitgelekt naar DNS-servers buiten de tunnel.

Als split-DNS voor slechts één protocol is ingeschakeld en een clientadres voor het andere protocol is toegewezen, wordt alleen "DNS-fallback voor split-tunneling" afgedwongen. Dit betekent dat AC alleen DNS-verzoeken toestaat die overeenkomen met de split-DNS-domeinen via de tunnel (andere verzoeken worden door AC beantwoord met "geweigerd" antwoord op force failover naar openbare DNS-servers), maar niet kan afdwingen dat verzoeken die overeenkomen met split-DNS-domeinen niet in het duidelijke, via de openbare adapter worden verzonden.

Linux

Tunnel-alle configuratie (en split-tunneling met tunnel-alle DNS ingeschakeld)

Wanneer AnyConnect is verbonden, worden alleen tunnelDNS-servers onderhouden in de systeem-DNS-configuratie en kunnen DNS-verzoeken daarom alleen worden verzonden naar de tunnelDNS-server(s).

Splitsen-inclusief configuratie (tunnel-alle DNS uitgeschakeld en geen splitsen-DNS)

AnyConnect interfereert niet met de native DNS-oplosser. De tunnelDNS-servers worden geconfigureerd als voorkeursresolvers, waarbij voorrang wordt genomen op openbare DNS-servers, waardoor wordt gewaarborgd dat het initiële DNS-verzoek om een naamresolutie via de tunnel wordt verzonden.


Configuratie splitsen-uitsluiten (tunnel-alle DNS uitgeschakeld en geen splitsen-DNS)


AnyConnect interfereert niet met de native DNS-oplosser. De tunnelDNS-servers worden geconfigureerd als voorkeursresolvers, waarbij voorrang wordt genomen op openbare DNS-servers, waardoor wordt gewaarborgd dat het initiële DNS-verzoek om een naamresolutie via de tunnel wordt verzonden.


Split-DNS (tunnel-alle DNS uitgeschakeld, splitsen-omvatten geconfigureerd)


Als split-DNS is ingeschakeld, wordt alleen "DNS fallback voor split-tunneling" afgedwongen. Dit betekent dat AC alleen DNS-verzoeken toestaat die overeenkomen met de split-DNS-domeinen via de tunnel (andere verzoeken worden door AC beantwoord met "geweigerd" antwoord op force failover naar openbare DNS-servers), maar niet kan afdwingen dat verzoeken die overeenkomen met split-DNS-domeinen niet in het duidelijke, via de openbare adapter worden verzonden.


OpenDNS-roamingclient


De Roaming client is een stuk software dat DNS-services beheert op het eindpunt en de OpenDNS openbare DNS-servers gebruikt om DNS-verkeer te beveiligen en te versleutelen.

Idealiter bevindt de client zich in een beveiligde en versleutelde staat. Als de client echter geen TLS-sessie kan instellen met de OpenDNS-server voor openbare probleemoplossing (208.67.22.222), wordt geprobeerd DNS-verkeer te verzenden zonder versleuteling op UDP-poort 53 tot 208.67.222.222. De Roamingclient maakt uitsluitend gebruik van het IP-adres 208.67.222.222 van OpenDNS (er zijn een paar andere adressen, zoals 208.67.220.220, 208.67.222.220 en 208.67.220.222). De zwervende client eenmaal geïnstalleerd, stelt 127.0.0.1 (localhost) in als de lokale DNS-server en overschrijft de huidige DNS-instellingen per interface. De huidige DNS-instellingen worden opgeslagen in lokale resolv.conf-bestanden (zelfs op Windows) in de configuratiemap Roaming Client. OpenDNS maakt een back-up van zelfs die DNS-servers die worden geleerd via de AnyConnect-adapter. Als bijvoorbeeld 192.168.92.2 de DNS-server is op de openbare adapter, wordt via OpenDNS de resolutie.conf gemaakt op de volgende locatie:


C:\ProgramData\OpenDNS\ERC\Resolver1-LocalAreaConnection-resolv.conf
nameserver 192.168.92.2


De zwervende client zal elk pakket versleutelen dat is ingesteld op OpenDNS; er wordt echter geen coderingstunnel gestart of gebruikt naar 208.67.22.22. De zwervende client heeft wel een optionele functie voor IP Layer Enforcement waarmee een IPSec-verbinding kan worden geopend voor niet-DNS-doeleinden om IP-adressen te blokkeren. Dit schakelt automatisch uit in aanwezigheid van een actieve AnyConnect-verbinding. Het bindt ook aan 127.0.0.1:53 om vragen te ontvangen die lokaal op de computer worden gegenereerd. Wanneer het eindpunt een naam moet oplossen, worden de lokale vragen geleid naar 127.0.0.1 vanwege de opheffing, en dan stuurt het onderliggende decrypt-proxy-proces van de Roamende Client ze door naar de OpenDNS openbare servers via het versleutelde kanaal.

Als DNS niet naar 127.0.0.1:53 mag vloeien, kan de roamende client niet functioneren en gebeurt het volgende. Als de client de openbare DNS-servers of het gebonden adres van 127.0.0.1:53 niet kan bereiken, wordt overgestapt naar een status die niet kan worden geopend en worden de DNS-instellingen op de lokale adapters hersteld. Op de achtergrond, blijft het sondes naar 208.67.222.22 verzenden en kan overgang naar actieve wijze als de veilige verbinding wordt hersteld.

Beperkingen


Na onderzoek van de functionaliteit op hoog niveau van beide clients is het duidelijk dat de zwervende client de mogelijkheid moet hebben om de lokale DNS-instellingen te wijzigen en te binden aan 127.0.0.1:53 om vragen door te sturen over het beveiligde kanaal. Wanneer VPN is verbonden, zijn de enige configuraties waar AnyConnect niet interfereert met de native DNS-oplosser de splitsen-opnemen en splitsen-uitsluiten (met split-tunnel-alle DNS uitgeschakeld). Daarom wordt momenteel aanbevolen een van deze configuraties te gebruiken wanneer de roamende client ook in gebruik is. De roamende client blijft in een onbeschermde/niet-versleutelde status als tunnelall-configuratie wordt gebruikt of als split-tunnel-all DNS is ingeschakeld, zoals in de afbeelding.

200395-Interop-between-AnyConnect-and-the-OpenD-00.png

Tijdelijke oplossing


Als de bedoeling is om de communicatie tussen de zwervende client en OpenDNS-servers te beveiligen met behulp van de VPN-tunnel, dan kan een dummy split-exclusielijst worden gebruikt op de VPN-head-end. Dit zal het dichtst bij een volledige tunnelconfiguratie liggen. Als er geen dergelijke eis is, dan kan splitsen-omvatten worden gebruikt waar de toegang-lijst niet de OpenDNS openbare servers omvat, of splitsen-uitsluiten kan worden gebruikt waar de toegang-lijst de OpenDNS openbare servers omvat.

Bovendien kunnen tijdens het gebruik van de Zwervende client splitsen-DNS-modi niet worden gebruikt, omdat dit resulteert in een verlies van lokale DNS-resolutie. Split-tunnel-all DNS moet ook uitgeschakeld blijven; het wordt echter gedeeltelijk ondersteund en moet de Roaming-client in staat stellen om versleuteld post-failover te worden. 

Configuraties

Tunnel OpenDNS-verkeer

In dit voorbeeld wordt een dummy IP-adres gebruikt in de toegangslijst met splitsen en uitsluiten. Met deze configuratie, gebeurt alle communicatie met 208.67.222.22 over de VPN-tunnel, en de zwervende client werkt in een versleutelde en beschermde staat.


ciscoasa# sh run access-li split
access-list split standard permit host 2.2.2.2

ciscoasa# sh run group-policy
group-policy GroupPolicy-OpenDNS internal
group-policy GroupPolicy-OpenDNS attributes
 wins-server none
 dns-server value 1.1.1.1
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy excludespecified
 split-tunnel-network-list value split
 default-domain value cisco.com
 address-pools value acpool
 webvpn
  anyconnect profiles value AnyConnect type user
ciscoasa#
[an error occurred while processing this directive]

OpenDNS-verkeer uitsluiten van VPN-tunnel


Dit voorbeeld gebruikt het OpenDNS-resoluveradres in de gesplitste toegangslijst. Met deze configuratie, gebeurt alle communicatie met 208.67.222.22 buiten de VPN-tunnel, en de zwervende client werkt in een versleutelde en beschermde staat.

ciscoasa# sh run access-li split
access-list split standard permit host 208.67.222.222

ciscoasa# sh run group-policy
group-policy GroupPolicy-OpenDNS internal
group-policy GroupPolicy-OpenDNS attributes
 wins-server none
 dns-server value 1.1.1.1
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy excludespecified
 split-tunnel-network-list value split
 default-domain value cisco.com
 address-pools value acpool
 webvpn
  anyconnect profiles value AnyConnect type user
ciscoasa#
[an error occurred while processing this directive]


Dit voorbeeld toont een splitter-omvat configuratie voor een interne 192.168.1.0/24-subnet. Met deze configuratie zal de zwervende client nog steeds in een versleutelde en beschermde staat werken, aangezien het verkeer naar 208.67.22.222 niet via de tunnel wordt verzonden.

ciscoasa# sh run access-li split
access-list split standard permit 192.168.1.0 255.255.255.0

ciscoasa# sh run group-policy
group-policy GroupPolicy-OpenDNS internal
group-policy GroupPolicy-OpenDNS attributes
 wins-server none
 dns-server value 1.1.1.1
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com
 address-pools value acpool
 webvpn
  anyconnect profiles value AnyConnect type user
ciscoasa#
[an error occurred while processing this directive] 
Note: Split-tunnel-all-dns must be disabled in all of the  scenarios
 [an error occurred while processing this directive]

Verifiëren

Wanneer VPN is verbonden, moet de roamingclient beveiligd en versleuteld tonen zoals in deze afbeelding:

200395-Interop-between-AnyConnect-and-the-OpenD-01.png

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
23-Mar-2016
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Aniket Rodrigues
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten