В рамках впровадження хмарного сервісу Cisco Umbrella на клієнтській стороні можуть виникати проблеми із відповідним підключенням. Умовно проблеми можна розділити на частину налаштувань та частину роботи клієнтських застосунків.
Попередні технічні дані:
Сторінка перевірки коректності налаштувань DNS серверів на клієнтському пристрої https://welcome.umbrella.com/
Адреси DNS сервери Umbrella:
208.67.222.222
208.67.220.220
Не можу залогінитись в панел керування, постійно перекидає на сторінку OpenDNS login page
Така ситуація нам відома. В даному випадку можна спробувати виконати 1 із наведених дій:
- при перекиданні на вказану сторінку треба в тій же вкладці (!) ввести адресу https://login.umbrella.com та натиснути Enter
- якщо попередній пункт не працює, то радимо відкрити вкладку в режимі інкогніто та залогінитись там
Ми не рекомендуємо ставити ПЗ Cisco Secure Client на ті робочі місця, які використовують програмне забезпечення із попередньо налаштованим VPN з’єднанням (казначейські програми чи інші, що використовують Cisco Anyconnect).
Також ми не рекомендуємо налаштовувати Umbrella, якщо ви не знаєте чи використовуються у вас внутрішні домени або ж ви не знаєте DNS налаштувань вашої організації. В інакшому випадку це може призвести до недоступності тих чи інших внутрішніх ресурсів або ресурсів із особливими налаштуваннями.
З огляду на специфіку розповсюдження клієнтського ПЗ радимо звіряти коректність параметрів orgID особистого кабінету в хмарній панелі керування з відповідними параметрами клієнтського ПЗ (в клієнті також вказано orgID).
1. Проблеми налаштувань:
1.1 Проблематика: На мережевому обладнанні прописані DNS сервери Umbrella, але сторінка перевірки коректності налаштувань показує, що DNS запити не захищені.
Можливі варіанти рішення:
Найбільш ймовірним є те, що пристрій, з якого ви перевіряєте стан захисту не налаштований на використання DNS серверів Umbrella, причиною може бути, що пристрій:
– містить заздалегідь задані налаштування DNS. В такому разі вам треба або змінити їх вручну на кінцевому пристрої на DNS сервери Umbrella або ж вказати опцію отримання цих налаштувань із мережевого обладнання.
– не оновився термін оренди DHCP, тож пристрій містить налаштування DHCP, що не оновлені у відповідності до останніх змін налаштувань DHCP. Треба вимкнути та увімкнути ваш мережевий адаптер або примусово оновити налаштування DHCP.
– зміна налаштувань мережевого обладнання не впливає на налаштування DHCP (або є окрема опція для відповідних налаштувань, або ж внесені налаштування не стосуються вашої поточної мережі). Переконатись, що ви правите саме налаштування DHCP для вашої поточної мережі.
– ваш провайдер примусово перезаписує DNS сервери для відповіді. Перевірити можна аз посиланням https://support.umbrella.com/hc/en-us/articles/4404204059284-Umbrella-filtering-not-working-Check-for-DNS-hijacking-redirection-by-your-ISP
1.2 Проблематика: На мережевому обладнанні прописані DNS сервери Umbrella, сторінка перевірки коректності налаштувань показує, що DNS запити захищені, але при відвідуванні сайту із списку заборонених – я все одно можу до них доступитись.
Можливі варіанти рішення:
Найбільш ймовірним є одна із причин:
перевірка (з точки зору Cisco Umbrella) здійснюється із комп’ютеру, що належить іншій організації (можливо ваша зовнішня адреса виявилась динамічною, змінилась і сусідній відділ додав вже нову вашу поточну адресу раніше, тому відповідно ви попадаєте під дію політики безпеки іншої організації)
вказана політика безпеки не зачіпає даний пристрій (тобто політика безпеки не налаштована на усі identity організації)
1.3 Проблематика: Не можу знайти, де налаштувати DHCP на своєму мережевому пристрої.
Можливі варіанти рішення:
На даний момент ми рекомендуємо скористатись розділом сайту за посиланням https://support.opendns.com/hc/en-us/categories/204012907-OpenDNS-Device-Configuration та обрати відповідний розділ. Також можна скористатись відповідними інструкціями на сайті виробника мережевого обладнання.
1.4 Проблематика: Налаштував мережеве обладнання, але перестали працювати усі сайти. На жодний не можу зайти.
Можливі варіанти рішення:
Найбільш ймовірним є те, що в панелі керування було відмічено опцію “Allow-Only Mode”. Ця опція обмежує доступ користувачів заздалегідь визначеним списком. Ми радимо його відключити. Детальніше про це можна почитати за посиланням https://docs.umbrella.com/umbrella-dns-gov/docs/create-and-apply-policies#advanced-settings
2. Проблема із клієнтом Umbrella Roaming Client:
2.1 Проблематика: Клієнт запускається, але статус його waiting (див малюнок)
Можливі варіанти рішення:
В даному випадку можливі декілька варіантів:
- cтороння збірка Windows блокує роботу клієнта.
- на комп’ютері збиті налаштування дати та часу. В такому випадку треба просто встановити правильний час та дату і перезапустити клієнт.
- Ім’я комп’ютера співпадає із іншим комп’ютером. Це може бути викликано однаковим хостнеймом при неліцензійній ОС Windows. Для усунення такої проблеми радимо перейменувати комп’ютер та перевстановити клієнт.
- в системі використовується обмеження на з’єднання із серверами Umbrella (firewall на хості чи у мережі)
- система вже скомпрометована та ШПЗ на ній блокує клієнт
2.2 Проблематика: В організації використовується динамічна IP адреса. Встановив OpenDNS Updater, але він вимагає логін та пароль. Що туди вводити?
Можливі варіанти рішення:
Для коректної роботи програма OpenDNS Updater вимагає наявність облікового запису організації, дані про яку має оновлювати ця програма. В такому разі радимо виходити із умов використання даного комп’ютеру:
- якщо це загально доступний комп’ютер, то радимо створити в хмарній панелі керування окремого користувача із правами reporting та додати його дані
- якщо ним користуєтесь лише ви, то можна ввести свій логін та пароль до хмарної панелі керування
2.3 Проблематика: Клієнт запустився. Статус показує, що все працює нормально. Але для цього робочого місця не виконуються політики безпеки, які я налаштував.
Можливі варіанти рішення:
Найбільш ймовірним є те, що налаштовані політики не включають даний комп’ютер, або ж він не відноситься до вашої організації (в термінології Cisco Umbrella). Для вирішення даної проблеми радимо спершу скористатись інструментом Policy Tester і за результатами вже робити висновки про подальші дії. Більш детально використання Policy Tester описано за посиланням https://docs.umbrella.com/umbrella-dns-gov/docs/umbrella-policy-tester-1
2.4 Проблематика: Клієнт встановлено, але комп’ютер не видно у списку комп’ютерів у панелі керування.
Можливі варіанти рішення:
Таке може бути у наступних випадках:
ім’я комп’ютера співпадає із раніше введеним (по суті дублює наявне), в такому випадку треба змінити хостнейм комп’ютеру та перевстановити клієнт
встановлено клієнт із іншої організації (треба звірити orgID на клієнті та у панелі керування – воно містить в адресі в стрічці браузеру при роботі в панелі керування)
