Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. Cisco vizsgák (CCNA, CCNP, CCIE)
  • Téma összefoglaló
    Utoljára frissítve: 2020-02-27 09:43

    PROHARDVER!

    --- Még az új vizsgarendszer előtti információk, majd frissítjük! ---


    Gyakran ismételt kérdések
    Olvasd el a cikkeket itt.

Új hozzászólás Aktív témák

  • #16642 Cyber_Bird senior tag
    Új Válasz #16642
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Cyber_Bird

    senior tag

    Szerbusztok!
    Hajamat tepem, de hatha valaki mas is talalkozott ezzel a requirementtel:
    Cisco ASA (9.18) (firepower asa modeban) Cisco anyconnect ssl-vpn.
    split tunnel setupot hasznalunk.
    van egy domain legyen mondjuk a kutymaki.hu

    Ez a kutymaki domain egy fontos domain ami cloudflare-t hasznal hogy kiszolgalja a usereknek a kutymaki tartalmat.

    A problema, hogy a backendje geolockolva van, hogy csak bizonyos orszagokbol legyen elerheto. Legyen ez mondjuk magyarorszag.

    Ami nem is gond, mert csak onnan akarjak elerni a userek.

    Viszont, az anyconnect (legalabbis windows alatt) minden esetben elobb a group-policyben beallitott dns servert hasznalja arra hogy feloldja a domaint. Ami a mivel egy nem magyarorszagi dns server, ezert a cloudflare egy nem magyar cf serverre fogja kuldeni, amit meg elutasit a kutymaki.hu backendje.

    Tehat a kerdesem: Hogy tudnam megoldani, hogy adott domainra *ne* kuldje el a dns queryt a vpn-ben kapott dns serverre, hanem hasznalja a local interfacehez tartozot.

    Amit labban probaltam, de nem mukodott:
    group-policy 999-dflt-grp-policy-xxxxxxxx attributes
     dns-server value 1.1.1.1
     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     split-tunnel-all-dns disable
    anyconnect-custom dynamic-split-exclude-domains value kutymaki

    ciscoasa(config)# show run webvpn 
    webvpn
     enable outside
     anyconnect-custom-attr dynamic-split-exclude-domains description dynamic split exclude domains
     anyconnect image disk0:/anyconnect-win-4.10.08029-webdeploy-k9.pkg 1
     anyconnect enable
     cache
      disable
     error-recovery disable
    anyconnect-custom-data dynamic-split-exclude-domains kutymaki kutymaki.hu, sad.kutymaki.hu

    access-list split standard permit 10.10.10.0 255.255.255.0 

    Tunnel up:
    PS C:\Users\info> nslookup kutymaki.hu
    Server: one.one.one.one
    Address: 1.1.1.1

    Tunnel down:
    PS C:\Users\info> nslookup kutymaki.hu
    Server: dns.google
    Address: 8.8.8.8

    Segitsetek szegeny kutymakinak, hogy ne uljon szomoruan a szerverszobaban.

    Thx

Új hozzászólás Aktív témák