Szerbusztok!
Hajamat tepem, de hatha valaki mas is talalkozott ezzel a requirementtel:
Cisco ASA (9.18) (firepower asa modeban) Cisco anyconnect ssl-vpn.
split tunnel setupot hasznalunk.
van egy domain legyen mondjuk a kutymaki.hu
Ez a kutymaki domain egy fontos domain ami cloudflare-t hasznal hogy kiszolgalja a usereknek a kutymaki tartalmat.
A problema, hogy a backendje geolockolva van, hogy csak bizonyos orszagokbol legyen elerheto. Legyen ez mondjuk magyarorszag.
Ami nem is gond, mert csak onnan akarjak elerni a userek.
Viszont, az anyconnect (legalabbis windows alatt) minden esetben elobb a group-policyben beallitott dns servert hasznalja arra hogy feloldja a domaint. Ami a mivel egy nem magyarorszagi dns server, ezert a cloudflare egy nem magyar cf serverre fogja kuldeni, amit meg elutasit a kutymaki.hu backendje.
Tehat a kerdesem: Hogy tudnam megoldani, hogy adott domainra *ne* kuldje el a dns queryt a vpn-ben kapott dns serverre, hanem hasznalja a local interfacehez tartozot.
Amit labban probaltam, de nem mukodott:group-policy 999-dflt-grp-policy-xxxxxxxx attributes
dns-server value 1.1.1.1
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
split-tunnel-all-dns disable
anyconnect-custom dynamic-split-exclude-domains value kutymaki
ciscoasa(config)# show run webvpn
webvpn
enable outside
anyconnect-custom-attr dynamic-split-exclude-domains description dynamic split exclude domains
anyconnect image disk0:/anyconnect-win-4.10.08029-webdeploy-k9.pkg 1
anyconnect enable
cache
disable
error-recovery disableanyconnect-custom-data dynamic-split-exclude-domains kutymaki kutymaki.hu, sad.kutymaki.hu
access-list split standard permit 10.10.10.0 255.255.255.0
Tunnel up:
PS C:\Users\info> nslookup kutymaki.hu
Server: one.one.one.one
Address: 1.1.1.1
Tunnel down:
PS C:\Users\info> nslookup kutymaki.hu
Server: dns.google
Address: 8.8.8.8
Segitsetek szegeny kutymakinak, hogy ne uljon szomoruan a szerverszobaban.
Thx
[ Szerkesztve ]
