Foro en Español

Reply
Occasional Contributor II
Posts: 17
Registered: ‎01-29-2015

Jardín vallado y VPN over DNS

Hola:

 

Os quería lanzar una duda sobre un problema que he tenido para saber si a alguien le ha pasado algo parecido o si podéis darme una pista.

 

En nuestro entorno los usuarios se validan con un portal cautivo externo. En el rol previo a la autenticación sólo permitimos DNS y el acceso al propio portal cautivo. Hemos detectado usuarios que usan servicios de tunelización de tráfico de nivel 4 a través de DNS. Entiendo que en realidad solo se conectar al puerto 53 de un servidor en Internet y usando un protocolo que nada tiene que ver con DNS encapsulan la navegación web que quieran saltandose así todas las restricciones que hemos puesto.

 

He comprobado que instant detecta una firma de aplicación de vpnoverdns y después de unas pruebas preliminares exitosas hemos aplicado el cambio a nuestro parque de APs. La sorpresa ha sido detectar que no era posible validarse en el portal cautivo si el cliente estaba en un AP que no era el virtual controller. Sin embargo si el cliente estaba conectado al virtual controller se validaba y navegaba sin problemas.

 

Descarto un problema de orden en las reglas del firewall porque en el VC el cliente se valida. Me quedan dos opciones:

- el proceso de captura de la navegación del cliente y de la presentación del portal cautivo es identificado en algún punto como vpnoverdns en los APs satélites.

- un bug

 

Me inclino sinceramente por la primera pero me gustaría tener alguna pista sobre cómo pasa exactamente.

Aruba Employee
Posts: 62
Registered: ‎07-09-2015

Re: Jardín vallado y VPN over DNS

Has podido hacer un debug del tráfico del cliente?  Sería de interés saber si las solicitudes de DNS se procesan o no.

 

# debug pkt type dns
# debug pkt match mac xx:xx:xx:xx:xx:xx

# debug pkt dump

 

La captura enseñará el tratamiento de los paquetes de DNS, incluyendo el proceso de firewall.  Puedes verificar si las solicitudes de DNS se pasan del firewall.

 

¿Qué versión de software tienes?  ¿Para el role de logon, has uilizado la regla "enlatado" de "Captive Portal" o has hecho las reglas a mano (permit DNS, permit DHCP, permit HTTP/HTTPS)?

Search Airheads
Showing results for 
Search instead for 
Did you mean: