Cisco VPN Client прерывает соединение с моим сервером LDAP

1701
tonycpsu

Я запускаю сервер LDAP в своей домашней сети для хранения учетных записей, записей автоматического монтирования и т. Д. Я потратил много времени на то, чтобы правильно настроить сервер LDAP для клиентов OS X, и, похоже, все работает, кроме тех случаев, когда я подключаюсь к VPN своего работодателя, используя Cisco VPN Client на OS X 10.5.

До сих пор я проследил проблему до того факта, что служба каталогов OS X выполняет обратный поиск DNS (PTR) для сервера LDAP, и кажется, что Cisco VPN Client перехватывает эти запросы DNS. Чтобы понять это, я включил отладку в службе каталогов, и в журнале отладки появляется следующее:

2010-02-11 18:02:02 EST - T[0xB031C000] - CLDAPConnectionManager::CheckFailed - checking 1 node connections 2010-02-11 18:02:02 EST - T[0xB031C000] - CLDAPNodeConfig::CheckWithSelect - good socket to host 192.168.1.11 but failed check, clearing from poll 

Продолжая изучать tcpdump, я обнаружил, что могу выполнять поиск DNS по имени хоста сервера каталогов, но обратный поиск вообще не попадает на DNS-сервер моей локальной сети. Вместо этого VPN-клиент, кажется, ест их и ссылается на них prisoner.iana.org.

Теперь я знаю, что именно так обычно и должно работать, когда вы запрашиваете у интернет-DNS-сервера адрес частной сети в адресном пространстве RFC 1918. Однако предполагается, что запрос направляется на DNS-сервер моей локальной сети (просто dnsmasq, работающий на Linksys WRT54G.) И, когда VPN-клиент не работает, эти запросы возвращаются нормально, и OS X может подключиться к моему LDAP-серверу. и я счастлив. Но как только я запускаю Cisco VPN Client, кажется, что он перехватывает эти запросы, что блокирует доступ к моему LDAP, что означает, что мои ресурсы автоматического монтирования не появляются, что очень раздражает.

Итак, кто-нибудь знает, почему VPN-клиент делает что-то подобное, и может ли кто-нибудь придумать какие-нибудь обходные пути?

1
Извините, если это слишком грубо, но вы пытались просто поместить свой сервер LDAP в / etc / hosts? Это мое упрощенное решение всех проблем с DNS и соседними хостами. Stabledog 14 лет назад 0

2 ответа на вопрос

1
Sim

Похоже, Cisco VPN Client настроен на блокировку доступа к локальной сети и обеспечивает только сетевое подключение к внутренней сети VPN. Обычно это делается из соображений безопасности, чтобы предотвратить объединение сетей. Как часть этого он установил ваши настройки DNS для VPN так, чтобы они были настройками VPN LAN, чтобы вы могли разрешать DNS-имена сети вашей компании, отсюда и ваша проблема.

В настройках VPN будет опция «Разрешить доступ к локальной сети», но она обычно отключена в административном порядке. Вот ссылка, показывающая вам, как включить Allow Local LAN Access, но ваши администраторы VPN, вероятно, заблокировали это, чтобы предотвратить это.

На самом деле я сам управляю этой машиной, поэтому «Разрешить локальный доступ к локальной сети» не заблокирован. Фактически, я обнаружил эту опцию во время моих попыток отладки этой проблемы, и проверка ее не меняет поведение клиента - он все еще перехватывает запросы PTR для моей локальной сети (и только запросы PTR для моей собственной сети - он пропускает нормальные запросы DNS.) tonycpsu 14 лет назад 0
Вы можете управлять устройством самостоятельно, но VPN-клиент будет получать политики, установленные администраторами VPN в вашей компании, которые, по-видимому, включают запрет на доступ к локальной сети. Так что, хотя вы можете изменить это, на самом деле это может не изменить поведение. Sim 14 лет назад 0
1
nudge

Это может быть вопрос сертификатов, если вы используете ldaps (ssl / tls) для подключения. Связывание, выполненное с обратным поисковым адресом ptr, не будет выполнено, потому что это не адрес, указанный в сертификате x509. Есть опция, которую вы можете добавить в свой ldap.conf / slapd.conf: обратный поиск отключен

Там и снова это может быть что-то другое, но стоит проверить, я думаю