问题描述:
1、主机DNS流量必须经过ACG
2、ACG上的网桥接口必须与外网互通。
主机访问https时,经过ACG替换源地址,以网桥接口地址继续向外发送SSL请求。
外网向ACG网桥接口回应server hello时,里面携带的服务器证书信息被替换为ACG本地证书进行解析。
1、已按官网http://www.h3c.com/cn/d_201811/1131447_30005_0.htm#_Toc529437091配置,只是配置文档中1.3.5配置解密策略中的源地址只设置了一台PC为10.1.98.14。
2、按上述配置文档配置好CA根证书mm.p12,且mm.p12也导入到本地证书里。
3、访问https://www.baidu.com 可以看到证书颁发者为mm,可是访问***.***证书是TrustAsia TLS RSA CA颁发的。
4、在日志查询-访问网站日志里,只能看到https://www.baidu.com这一个https的网站,而且必须在搜索引擎日志里才能看到搜索了什么,打开凤凰网看不到https的URL。
5、抓包看到没有建立双向ssl,以ACG本机IP为源抓包,无http、https、等访问外网的流量,客户端访问https网站直接出去了。
6、请问各位大佬,我是哪里出错了?客户端需要DNS指向ACG设备吗?
拍照链接:https://pan.baidu.com/s/1Xe5W_p--gMt_ZC3XOlzz-g 提取码:cvm2
组网及组网描述:
产品:ACG1000-EE
系统版本:i-Ware software,Version 1.10,Ess 6411
拓扑: PC---S10508---ACG---ROUTER
ACG已经NAT出去,且可以ping通百度等网址。 透明模式,bypass
- 2019-02-28提问
- 举报
-
(0)
最佳答案
当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
可以参考官网典配使用限制:http://www.h3c.com/cn/d_201811/1131674_30005_0.htm
- 2019-02-28回答
- 评论(4)
- 举报
-
(0)
您好再问您下,当设备DNS设置成全局模式 这句话是怎么理解的?
透明模式 只有个管理地址的IP,设备DNS已配置,我只需要用户电脑DNS指向ACG这个管理地址IP就可以了吗?这个IP可以上网。之前配置解密策略后,DNS用的是公网DNS地址,没解密,也建立双向SSL。是因为DNS没指向AGC的地址的原因吗?
是的,DNS流量不过设备不能实现解密,直接把dns指导acg也行,还要保证设备能上网,即acg能ping通www.baidu.com这些地址。
现在ACG可以pinng通百度这些地址,我DNS指向了公网,DNS流量也是过ACG才到公网的啊。。但是不解密,用户流量还是直接与https网站建立的SSL连接。在ACG上抓包是可以看到DNS流量的,另外证书可以推送吗?我看官网都是必须自己安装。现在只是想在网站访问日志里看到https的网站记录,毕竟现在大多数网站都是https的。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
现在ACG可以pinng通百度这些地址,我DNS指向了公网,DNS流量也是过ACG才到公网的啊。。但是不解密,用户流量还是直接与https网站建立的SSL连接。在ACG上抓包是可以看到DNS流量的,另外证书可以推送吗?我看官网都是必须自己安装。现在只是想在网站访问日志里看到https的网站记录,毕竟现在大多数网站都是https的。