Reordene ou “priorize” o servidor DNS através do Cisco AnyConnect VPN no Mac

1

Tenho o Cisco AnyConnect no meu Mac (10.13.6) e a resolução de DNS funciona corretamente para os nomes de host internos. A saída de scutil parece bem:

2015MBP:~ craig$ scutil --dns
DNS configuration

resolver #1
  search domain[0] : dns1.mycompany.com
  search domain[1] : dns2.mycompany.com
  search domain[2] : hsd1.ma.comcast.net
  nameserver[0] : 10.xx.xx.xx (<-- AN INTERNAL COMPANY IP)
  nameserver[1] : 10.xx.xx.xx (<-- AN INTERNAL COMPANY IP)
  flags    : Request A records, Request AAAA records
  reach    : 0x00000002 (Reachable)
  order    : 1

resolver #2
  domain   : local
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300000

resolver #3
  domain   : 254.169.in-addr.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300200

resolver #4
  domain   : 8.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300400

resolver #5
  domain   : 9.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300600

resolver #6
  domain   : a.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300800

resolver #7
  domain   : b.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 301000

DNS configuration (for scoped queries)

resolver #1
  search domain[0] : hsd1.ma.comcast.net
  nameserver[0] : 192.168.1.1
  if_index : 5 (en0)
  flags    : Scoped, Request A records, Request AAAA records
  reach    : 0x00020002 (Reachable,Directly Reachable Address)

No entanto, percebo que ele está usando o DNS da empresa para coisas que não é necessário:

2015MBP:~ craig$ nslookup apple.com
Server:         10.xx.xx.xx.   (<-- SAME COMPANY IP FROM ABOVE)
Address:        10.xx.xx.xx#53

Non-authoritative answer:
Name:   apple.com
Address: 17.178.96.59
Name:   apple.com
Address: 17.142.160.59
Name:   apple.com
Address: 17.172.224.47

Existe uma maneira de dizer ao macOS para priorizar meu ISP para resolução de nomes de host, e apenas para retornar ao DNS da VPN para pesquisas que falham na primeira vez?

    
por Craig Otis 30.07.2018 / 01:21

3 respostas

1

Sei que isso não responde exatamente à sua pergunta sobre como corrigi-lo em anyconnect, mas consegui alcançar o resultado que você está procurando usando o openconnect. Se você souber os endereços / intervalos que precisa rotear através da VPN, poderá adicionar manualmente essas rotas estáticas para passar pela interface da VPN, incluindo os servidores DNS @ work. Em seguida, depois de configurar suas rotas, você poderá adicionar o servidor DNS de trabalho como opção não primária nas configurações de DNS da sua interface principal. O secundário / terciário / quaternário / etc. O servidor DNS no trabalho só é consultado se os resultados não forem encontrados no DNS primário. Se você configurou as rotas corretamente, a consulta DNS será roteada automaticamente por VPN, assim como o restante do tráfego limitado a trabalho.

Isso pode causar problemas, se você estiver usando algum aplicativo com DNS dividido, por isso, esteja ciente disso.

Suponho que você * poderia fazer isso com anyconnect excluindo a rota padrão (aquela definida por anyconnect, não a rota padrão para seu adaptador de rede1) ou alterando as configurações do servidor DNS na conexão VPN, mas o problema é que anyconnect mudará seu configurações toda vez que você se reconectar. Com o openconnect consegui configurar rotas persistentes através do adaptador VPN que funcionava sempre que a VPN estava ativa.

Se precisar de mais informações, me avise e eu posso editar a resposta.

    
por 04.08.2018 / 10:05
0

As configurações geralmente são configuradas no próprio ASA. Você pode especificar se deseja que todas as consultas DNS sejam enviadas por meio do túnel VPN ou divida-as entre o túnel VPN e a interface física. Não tenho conhecimento de nenhuma configuração que possa ser usada na máquina cliente (seu MAC) para forçar a resolução de DNS primeiro por meio do DNS local e, em seguida, recorrer ao servidor DNS que é fornecido por meio do cliente VPN.

    
por 01.08.2018 / 11:00
0

Outras pessoas parecem ter o mesmo problema com diferentes clientes VPN. Há algumas respostas em link isso pode ajudar.

    
por 04.08.2018 / 00:30