VPN-клієнт Cisco AnyConnect дозволяє підтримувати локальний доступ до локальної мережі, але не на додатковому сервері

У нас є машина для підключення через Cisco SSL VPN ( \\speeder).

я можу пінг нашого speederна 10.0.0.3:

Таблиця маршрутизації \\speederпоказує декілька IP-адрес, які ми їй призначили:

Після з'єднання з клієнтом VPN Cisco AnyConnect:

ми більше не можемо пінг \\speeder:

І хоча існують нові записи маршрутизатора для адаптера Cisco VPN, жодні існуючі записи маршрутизації не були змінені після з'єднання:

Очікується, що ми не можемо пінг IP-адреси Speeder на адаптері Cisco VPN (192.168.199.20), оскільки він знаходиться в іншій підмережі, ніж наша мережа (ми 10.0.xx 255.255.0.0), тобто:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Проблема, яку ми відчуваємо, полягає в тому, що потім ми не можемо пінг існуючих IP-адрес на \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

тощо

Що цікаво, і може дати підказку, це те, що є одна адреса, з якою ми можемо спілкуватися:

Ця адреса, з якою ми можемо пінг і спілкуватися:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Що робить цю одну IP-адресу особливою? Ця одна IP-адреса має перевагу бути "основною" адресою:

На відміну від використовуваних нами адрес, які є "додатковими" адресами:

Підводячи підсумок, коли клієнт Cisco AnyConnect VPN підключається, він блокує нас від усіх, але не однієї адреси, пов'язаної з комп'ютером.

Нам потрібен клієнт Cisco, щоб перестати це робити.

Хтось знає, як змусити клієнта Cisco AnyConnect SSL VPN перестати це робити?

Примітка . Firepass SSL VPN від мереж F5 не має такої ж проблеми.

Ми зв’язалися з Cisco, і вони кажуть, що ця конфігурація не підтримується.

Я повідомив про Cisco Bug ID CSCts12090 (необхідний CCO) кілька тижнів тому. Я щойно почав використовувати AnyConnect близько 6 місяців тому і використовував лише версію 3.0 та новішу версію. Схоже, ви використовуєте версію раніше, ніж 3.0.

У будь-якому випадку помилка, про яку я повідомляв, дуже схожа (але гірша). AnyConnect не може успішно підключитися, коли в локальних мережах NIC в певних випадках призначено кілька IP-адрес. Щоб отримати докладнішу інформацію, перегляньте повний звіт про помилку, зв'язаний раніше Це була підтверджена помилка, і вона буде виправлена ​​в AC 3.1. Як мені було сказано, AC 3.1 обіцяє бути досить великим переписом коду оновлення локальної таблиці маршрутизації, який збирається виправити це, і ряду інших примх з AC.

Хоча проблема, яку ви відчуваєте, не зовсім подібна до тієї, про яку я повідомив у CSCts12090, вона моторошно схожа.

Адаптер Cisco VPN особливий тим, що в режимі "за замовчуванням" він призначений для передачі кожного останнього біту мережевого трафіку по каналу тунелю. Я відобразив цю конфігурацію для тестування, і звичайний тунель насправді навіть не дозволив мені ввести основну адресу локального інтерфейсу.

Однак із розділеним тунелем, де адаптер VPN обробляє трафік лише для вказаних мереж, здається, він чудово працює для вторинних адрес.

Якщо ви можете, змініть конфігурацію з'єднання, щоб бути розділеним тунелем; якщо вашою кінцевою точкою є ASA, це буде split-tunnel-policyі split-tunnel-network-listкоманди у відповідних group-policy.