O cliente Windows sem fio continua usando o servidor DNS anterior depois de acessar a VPN da Cisco

1

Temos clientes Windows XP SP2 executando o cliente Cisco VPN 3000 (3030) em conexões sem fio. Quando fora da VPN, os clientes obtêm seus servidores DNS do DHCP (eles definitivamente não são configurados estatisticamente). Em alguns casos, os clientes continuam tentando falar com esse servidor DNS mesmo depois de entrarem na VPN, mesmo que o concentrador de VPN esteja distribuindo endereços de servidor DNS diferentes.

Alguém viu isso?

Obrigado

    
por Matt 04.06.2009 / 23:05

5 respostas

1

É possível que as configurações do servidor DNS que seu concentrador de VPN está distribuindo não sejam abordadas nas redes de túnel divididas mencionadas por GregD. Se o escopo DHCP da VPN fornecer servidores DNS e estes não forem cobertos pelas redes de túnel divididas, o cliente tentará acessar os servidores DNS por meio do gateway padrão, que será o roteador local ao qual eles estão conectados.

Eu tenho que discordar da afirmação de que a VPN ful é mais segura - você não quer que seu tráfego de navegação na web seja roteado pela WAN corporativa pela VPN, especialmente se o cliente não for gerenciado pela empresa e você não tem controle sobre antivírus, patches, etc. - você pode estar transmitindo todo tipo de coisas ruins para a sua rede corporativa.

    
por 09.06.2009 / 18:29
1

Eu acredito que isso tem a ver com a ordem de conexão dos adaptadores de rede em suas máquinas XP. Sua conexão sem fio tem uma precedência maior do que a sua conexão VPN e está usando os servidores DNS configurados antes de usar os servidores DNS configurados na sua conexão VPN. Para verificar isso:

1) abra sua janela Conexões de Rede

2) Vá para o menu Avançado, Configurações avançadas ...

3) A parte superior desta janela lista suas conexões de rede na ordem em que são acessadas. Coloque sua conexão VPN no topo da lista e eles devem começar a usar os servidores DNS adequados enquanto estiverem na VPN.

    
por 04.08.2009 / 23:12
0

Geralmente, há apenas uma razão para isso: você está usando o Split Tunneling em vez do Full Tunneling. No primeiro caso, você está permitindo a eles acesso local à internet / lan, enquanto também lhes permite acesso à VPN, duas placas de interface aparecerão no ipconfig.

Com o tunelamento total, todo o tráfego deve percorrer o túnel VPN, que, do ponto de vista de segurança, é a configuração mais desejada.

    
por 05.06.2009 / 00:05
0

Eu ainda não vi isso especificamente, mas você já tentou o comando 'ipconfig /flushdns'...se assim, resolve o problema, mesmo que temporariamente?

    
por 23.06.2009 / 20:11
0

Uma solução alternativa que pode ser adequada para usuários que estão principalmente fora da rede corporativa é habilitar o login da VPN antes do login do Windows, nas opções do Cisco VPN Client. Isso deve ajudar a preservar as homedrives e permitir scripts de login. É claro que é mais irritante para usuários que acessam principalmente o escritório.

Outra sugestão que ouvi é que um aplicativo em particular pode armazenar em cache suas tentativas de resolução de nomes, mesmo depois de você limpar o cache do resolvedor de DNS, para que a janela aberta do Explorer acredite que o serverx não possa ser acessado até que você reinicie o Explorer não foi possível confirmar isso.

Eu experimentei esse problema, é frustrante solucionar problemas porque os usuários estão off-definition por definição quando o experimentam. Outro fator que complica a configuração do túnel dividido é que, se o seu domínio interno for company.com, você terá um DNS externo voltado para o público para www.company.com etc - quando o usuário tentar resolver o arquivo interno fileserver.company.com, ele Receberá uma resposta autoritativa do DNS externo que "fileserver" não existe.

    
por 04.08.2009 / 23:38