我们有 Windows XP SP2 客户端,它们在无线连接上运行 Cisco VPN 3000 客户端 (3030)。当关闭 VPN 时,客户端从 DHCP 获取 DNS 服务器(它们绝对不是静态配置的)。在某些情况下,即使客户端进入 VPN,它们仍会继续尝试与此 DNS 服务器通信,即使 VPN 集中器给出了不同的 DNS 服务器地址。
有人见过这个吗?
谢谢
答案1
您的 VPN 集中器提供的 DNS 服务器设置可能不在 GregD 提到的分割隧道网络中。如果您的 VPN DHCP 范围提供 DNS 服务器,而这些服务器不在分割隧道网络中,则客户端将尝试通过其默认网关(即它们所连接的本地路由器)访问 DNS 服务器。
我不同意完整的 VPN 更安全的说法 - 你真的不希望你的网页浏览流量通过 VPN 在企业 WAN 上路由,特别是如果客户端不由公司管理并且你无法控制 AV、修补等 - 你可能会将各种坏东西传输到你的公司网络上。
答案2
我认为这与 XP 计算机上网络适配器的连接顺序有关。您的无线连接比 VPN 连接具有更高的优先级,并且在使用 VPN 连接中配置的 DNS 服务器之前先使用无线连接中配置的 DNS 服务器。要检查这一点,请执行以下操作:
1)打开网络连接窗口
2)进入高级菜单、高级设置...
3) 此窗口的顶部按访问顺序列出了您的网络连接。将您的 VPN 连接放在列表顶部,它们应该会在 VPN 上开始使用正确的 DNS 服务器。
答案3
通常只有一个原因:您使用的是拆分隧道而不是完整隧道。在前者中,您允许他们访问本地局域网/互联网,同时也允许他们访问 VPN,两个接口卡将显示在 ipconfig 中。
通过完整隧道,所有流量都必须通过 VPN 隧道传输,从安全角度来看,这是最理想的设置。
答案4
一种可能适合主要不在公司网络的用户的解决方法是在 Cisco VPN 客户端的选项中在 Windows 登录之前启用 VPN 登录。这应该有助于保留家庭驱动器并允许登录脚本。当然,对于主要在办公室登录的用户来说,这更令人讨厌。
我听到的另一个建议是,即使您已经刷新了 DNS 解析器缓存,特定的应用程序也可能会缓存其名称解析尝试,因此 Explorer 的打开窗口可能会认为在重新启动 Explorer 之前无法访问 serverx,但是我无法确认这一点。
我遇到过这个问题,解决问题很令人沮丧,因为用户遇到这个问题时肯定不在现场。另一个使拆分隧道配置复杂化的因素是,如果您的内部域是 company.com,那么您就有面向公众的外部 DNS,例如 www.company.com 等 - 当您的用户尝试解析内部 fileserver.company.com 时,他们会从外部 DNS 获得权威答案,即“fileserver”不存在。