VPN-клієнт Cisco AnyConnect дозволяє підтримувати локальний доступ до локальної мережі, але не на додатковому сервері


17

У нас є машина для підключення через Cisco SSL VPN ( \\speeder).

я можу пінг нашого speederна 10.0.0.3:

введіть тут опис зображення

Таблиця маршрутизації \\speederпоказує декілька IP-адрес, які ми їй призначили:

введіть тут опис зображення

Після з'єднання з клієнтом VPN Cisco AnyConnect:

введіть тут опис зображення

ми більше не можемо пінг \\speeder:

введіть тут опис зображення

І хоча існують нові записи маршрутизатора для адаптера Cisco VPN, жодні існуючі записи маршрутизації не були змінені після з'єднання:

введіть тут опис зображення

Очікується, що ми не можемо пінг IP-адреси Speeder на адаптері Cisco VPN (192.168.199.20), оскільки він знаходиться в іншій підмережі, ніж наша мережа (ми 10.0.xx 255.255.0.0), тобто:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Проблема, яку ми відчуваємо, полягає в тому, що потім ми не можемо пінг існуючих IP-адрес на \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

тощо

Що цікаво, і може дати підказку, це те, що є одна адреса, з якою ми можемо спілкуватися:

введіть тут опис зображення

Ця адреса, з якою ми можемо пінг і спілкуватися:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Що робить цю одну IP-адресу особливою? Ця одна IP-адреса має перевагу бути "основною" адресою:

введіть тут опис зображення

На відміну від використовуваних нами адрес, які є "додатковими" адресами:

введіть тут опис зображення

Підводячи підсумок, коли клієнт Cisco AnyConnect VPN підключається, він блокує нас від усіх, але не однієї адреси, пов'язаної з комп'ютером.

Нам потрібен клієнт Cisco, щоб перестати це робити.

Хтось знає, як змусити клієнта Cisco AnyConnect SSL VPN перестати це робити?

Примітка . Firepass SSL VPN від мереж F5 не має такої ж проблеми.

Ми зв’язалися з Cisco, і вони кажуть, що ця конфігурація не підтримується.

Відповіді:


1

Я повідомив про Cisco Bug ID CSCts12090 (необхідний CCO) кілька тижнів тому. Я щойно почав використовувати AnyConnect близько 6 місяців тому і використовував лише версію 3.0 та новішу версію. Схоже, ви використовуєте версію раніше, ніж 3.0.

У будь-якому випадку помилка, про яку я повідомляв, дуже схожа (але гірша). AnyConnect не може успішно підключитися, коли в локальних мережах NIC в певних випадках призначено кілька IP-адрес. Щоб отримати докладнішу інформацію, перегляньте повний звіт про помилку, зв'язаний раніше Це була підтверджена помилка, і вона буде виправлена ​​в AC 3.1. Як мені було сказано, AC 3.1 обіцяє бути досить великим переписом коду оновлення локальної таблиці маршрутизації, який збирається виправити це, і ряду інших примх з AC.

Хоча проблема, яку ви відчуваєте, не зовсім подібна до тієї, про яку я повідомив у CSCts12090, вона моторошно схожа.


... помилково схоже; і, можливо, може просто виправитись із перезаписом.
Ян Бойд

1

Адаптер Cisco VPN особливий тим, що в режимі "за замовчуванням" він призначений для передачі кожного останнього біту мережевого трафіку по каналу тунелю. Я відобразив цю конфігурацію для тестування, і звичайний тунель насправді навіть не дозволив мені ввести основну адресу локального інтерфейсу.

Однак із розділеним тунелем, де адаптер VPN обробляє трафік лише для вказаних мереж, здається, він чудово працює для вторинних адрес.

Якщо ви можете, змініть конфігурацію з'єднання, щоб бути розділеним тунелем; якщо вашою кінцевою точкою є ASA, це буде split-tunnel-policyі split-tunnel-network-listкоманди у відповідних group-policy.


1
Це була термінологія, "розділений тунель", що було включено на сервері; і це не змінилося. (" Маркер RSA для профілю SSL_Vendor тепер увімкнено розділеним тунелюванням. Це повинно дозволяти постачальникам отримувати доступ до локальної локальної мережі при підключенні ") Це дозволило локальній локальній мережі отримати доступ до клієнтської машини vpn на "головному" IP (тоді як раніше ми не змогли) - але це не дозволило з'єднатися з клієнтськими машинами vpn через інші IP-адреси.
Ян Бойд
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.