Der Cisco VPN Client unterbricht die Verbindung zu meinem LDAP-Server
1786
tonycpsu
Ich verwende einen LDAP-Server in meinem Heimnetzwerk, um Konten, Automount-Einträge usw. zu speichern. Ich habe viel Zeit damit verbracht, den LDAP-Server für OS X-Clients richtig zu konfigurieren. Alles scheint zu funktionieren, außer wenn ich mich beim VPN meines Arbeitgebers mit anmelde Cisco VPN-Client unter OS X 10.5.
Bisher habe ich das Problem auf die Tatsache zurückgeführt, dass der OS X-Verzeichnisdienst eine Reverse-DNS-Suche (PTR) für den LDAP-Server durchführt und der Cisco VPN-Client diese DNS-Anforderungen abfängt. Um dies herauszufinden, habe ich das Debuggen im Verzeichnisdienst aktiviert, und im Debugprotokoll wird Folgendes angezeigt:
2010-02-11 18:02:02 EST - T[0xB031C000] - CLDAPConnectionManager::CheckFailed - checking 1 node connections 2010-02-11 18:02:02 EST - T[0xB031C000] - CLDAPNodeConfig::CheckWithSelect - good socket to host 192.168.1.11 but failed check, clearing from poll
Ich habe mit tcpdump weiter gesucht und festgestellt, dass ich DNS-Suchen für den Hostnamen des Verzeichnisservers durchführen kann, aber Reverse-Lookups gelangen überhaupt nicht zum DNS-Server meines LANs. Stattdessen scheint es, dass der VPN-Client sie frisst und auf sie verweist prisoner.iana.org.
Nun, ich weiß, dass die Dinge normalerweise funktionieren sollen, wenn Sie einen Internet-DNS-Server nach einer privaten Netzwerkadresse im Adressraum von RFC 1918 abfragen. Die Abfrage soll jedoch an den DNS-Server meines LAN gehen (nur dnsmasq wird auf einem Linksys WRT54G ausgeführt.) Wenn der VPN-Client nicht ausgeführt wird, werden diese Anforderungen ordnungsgemäß ausgeführt, und OS X kann eine Verbindung zu meinem LDAP-Server herstellen und ich bin glücklich. Sobald ich den Cisco VPN Client starte, scheint es jedoch, dass diese Anfragen abgefangen werden, was den Zugriff auf mein LDAP blockiert, was bedeutet, dass meine Automount-Freigaben nicht aktiviert werden, was sehr ärgerlich ist.
Weiß jemand, warum der VPN-Client so etwas tun würde, und kann jemand an eine Problemumgehung denken?
Sorry, wenn dies einfach zu grob ist, aber haben Sie versucht, Ihren LDAP-Server in / etc / hosts zu platzieren? Das ist meine vereinfachte Lösung für alle Probleme mit DNS und Hosts in der Nähe.
Stabledog vor 14 Jahren
0
2 Antworten auf die Frage
1
Sim
Der Cisco VPN Client wurde so konfiguriert, dass er den Zugriff auf Ihr lokales Netzwerk blockiert und nur die Netzwerkverbindung zum internen VPN-Netzwerk ermöglicht. Dies geschieht normalerweise aus Sicherheitsgründen, um ein Überbrücken der Netzwerke zu verhindern. Als Teil davon haben Sie Ihre DNS-Einstellungen für das VPN als VPN-LAN festgelegt, sodass Sie die DNS-Namen Ihres Unternehmensnetzwerks auflösen können, was zu Ihrem Problem führt.
In den VPN-Einstellungen gibt es eine Option zum Zulassen des lokalen LAN-Zugriffs, die jedoch normalerweise administrativ deaktiviert ist. Hier ist ein Link, der Ihnen zeigt, wie Sie lokalen LAN-Zugriff zulassen aktivieren, aber Ihre VPN-Administratoren haben dies wahrscheinlich gesperrt, um dies zu verhindern.
Eigentlich verwalte ich diese Maschine selbst, so dass "All LAN Local Access" nicht gesperrt ist. Tatsächlich habe ich diese Option während meiner Versuche entdeckt, dieses Problem zu debuggen, und das Überprüfen des Problems ändert das Verhalten des Clients nicht - es werden immer noch PTR-Anforderungen für mein lokales Netzwerk abgefangen (und nur PTR-Anfragen für mein eigenes Netzwerk) normale DNS-Anfragen.)
tonycpsu vor 14 Jahren
0
Sie können den Computer zwar selbst verwalten, der VPN-Client erhält jedoch Richtlinien, die von den VPN-Administratoren in Ihrem Unternehmen festgelegt wurden. Dazu gehört, dass möglicherweise kein lokaler LAN-Zugriff zulässig ist. Obwohl Sie es möglicherweise ändern können, ändert es möglicherweise nicht das Verhalten.
Sim vor 14 Jahren
0
1
nudge
Es kann eine Frage von Zertifikaten sein, wenn Sie ldaps (ssl / tls) verwenden, um eine Verbindung herzustellen. Das Binden mit einer Reverse-Ptr-Lookup-Adresse schlägt fehl, weil es nicht die im x509-Zertifikat angegebene Adresse ist. Es gibt eine Option, die Sie in Ihre ldap.conf / slapd.conf einfügen können: reverse-Lookup aus
Hin und wieder könnte es leicht etwas anderes sein, aber ich denke, es ist eine Überprüfung wert