Inleiding
Dit document beschrijft het gedrag van de AnyConnect VPN Core module wanneer het de volledig gekwalificeerde domeinnaam (FQDN) mus.cisco.com in specifieke scenario's vraagt. Deze query wordt uitgevoerd wanneer de AnyConnect-client probeert vast te stellen of het eindpunt internettoegang heeft en er geen VPN wordt gebruikt.
Bijgedragen door Peter Giang, Cisco BU.
Bijgedragen door Steve Sargent, Cisco BU Technical Leader.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Installatie van AnyConnect-module.
- Creatie van bundel voor AnyConnect Diagnostic and Reporting Tool (DART).
- Wireshark sniffer vangt op.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- AnyConnect kern VPN-module versie 4.8.03052
- Windows 10 Enterprise 10.0.18363 Build 18363
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Dit document kan ook worden gebruikt voor de volgende hardware- en softwareversies:
- Alle besturingssystemen (MacOS, Windows, Linux).
- Any AnyConnect-versie vóór 4.10.
Achtergrondinformatie
AnyConnect-vragen naar mus.cisco.com worden door het ontwerp verwacht.
Opmerking: er is een verbeteringsdefect gemaakt voor dit gedrag. Cisco bug-id CSCvu39643. Als VPN-module niet wordt gebruikt, mogen geen query's vanuit de VPN-kern worden uitgevoerd naar mus.cisco.com.
Probleem
Wanneer de AnyConnect VPN-kernmodule niet in gebruik is (er is geen XML-profiel geconfigureerd voor VPN-verbindingen), worden elke 15 seconden vragen naar mus.cisco.com gegenereerd.
Oplossing 1
Voeg een Domain Name System (DNS)-vermelding toe op uw DNS-server om naamvragen op te lossen op mus.cisco.com. Als u geen DNS-server beheert, stuurt u dergelijke verzoeken door naar een openbare DNS-server.
Wanneer mus.cisco.com FQDN kan worden opgelost, stopt AnyConnect de zoekpoging.
Oplossing 2
Voeg een DNS-vermelding toe aan uw OS-hostbestand (Operative System) om de FQDN mus.cisco.com op te lossen.
Windows
- Druk op de Windows-toets.
- Typ Kladblok in het veld Zoeken.
- Klik in de zoekresultaten met de rechtermuisknop op Kladblok en selecteer Als beheerder uitvoeren.
- Open vanuit Kladblok het bestand "C:\Windows\System32\Drivers\etc\hosts".
- Breng de gewenste wijzigingen aan in het bestand.
- Selecteer Bestand > Opslaan om de wijzigingen op te slaan.
Mac
- Open een Terminal-venster.
- Voer deze opdracht in om het hostbestand te openen met de nano-teksteditor ingesloten in het besturingssysteem: "sudo nano /etc/hosts".
- Voer uw domeingebruiker en wachtwoord in.
- Breng de gewenste wijzigingen aan in het bestand.
Linux
- Open een Terminal-venster.
- Voer deze opdracht in om het hostbestand te openen met de nano-teksteditor ingesloten in het besturingssysteem: "sudo nano /etc/hosts".
- Voer uw domeingebruiker en wachtwoord in.
- Breng de gewenste wijzigingen aan in het bestand.
AnyConnect-vragen naar mus.cisco.com
Configureren
De installatie van AnyConnect VPN-kernmodule.
Netwerkdiagram
******************************************
Date : 06/17/2020
Time : 20:21:57
Type : Warning
Source : acvpnagent
Description : Function : CDNSRequest::OnSocketReadComplete
File: c:\temp\build\thehoff\negasonic_mr30.297045120452\negasonic_mr3\vpn\common\ip\dnsrequesct.cpp
Line: 1147
Timeout (per request) while trying to resolve [A] query mus.cisco.com via DNS server 10.88.240.69 (timeout interval = 10 sec)
******************************************
Problemen oplossen
Om de juiste werking te bevestigen, kunt u een pakketopname op de uitgangsinterface van het eindpunt inschakelen met het gebruik van Wireshark.
In de grafische gebruikersinterface (GUI) van de AnyConnect-client verschijnt het bericht "Netwerkfout. Kan niet zoeken naar hostnamen" wordt weergegeven (zoals in de afbeelding).
Wanneer een van de tijdelijke oplossingen wordt toegepast, kunt u ook een pakketopname maken op Wireshark en het DNS filter gebruiken om de constante vragen aan mus.cisco.com te bevestigen:
Op de GUI-interface van AnyConnect-client wordt het bericht "Klaar om verbinding te maken" weergegeven (zoals in de afbeelding).
Tip: zelfs als u de AnyConnect VPN-kernmodule niet ziet op de GUI-interface, betekent dit niet dat de VPN-kernmodule niet actief is, zoekt u naar het bestand VPNDisable_ServiceProfile.xml onder de map "C:\programdata\cisco on Windows" en "/opt/cisco/anyconnect/profile" op Apple-apparaten. Voor Linux wordt dit niet ondersteund.