Як я можу відключити автоматичне підключення VPN під час використання AnyConnect?

1

Я використовую Cisco AnyConnect (4.2.05015) на Win10 Enterprise для обробки моїх підключень WiFi та VPN-з'єднань. В даний час, коли AnyConnect підключається до WiFi, він автоматично намагається підключитися до однієї з моїх точок доступу VPN. Я б хотів відключити таку поведінку. AnyConnect слід тільки підключитися до VPN , коли я натискаю на відповідну кнопку «Connect», але він повинен НЕ намагатися підключитися до VPN автоматично. Як я можу це досягти?

Оновлення C: / ProgramData / Cisco / Cisco AnyConnect Secure Mobility Client / Profile /

    <ClientInitialization>
    <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
    <AutomaticCertSelection UserControllable="false">true</AutomaticCertSelection>
    <ShowPreConnectMessage>false</ShowPreConnectMessage>
    <CertificateStore>All</CertificateStore>
    <CertificateStoreOverride>false</CertificateStoreOverride>
    <ProxySettings>Native</ProxySettings>
    <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
    <AuthenticationTimeout>12</AuthenticationTimeout>
    <AutoConnectOnStart UserControllable="false">false</AutoConnectOnStart>
    <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
    <LocalLanAccess UserControllable="true">true</LocalLanAccess>
    <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
    <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
    <AutoReconnect UserControllable="true">true
        <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
    </AutoReconnect>
    <AutoUpdate UserControllable="false">true</AutoUpdate>
    <RSASecurIDIntegration UserControllable="true">Automatic</RSASecurIDIntegration>
    <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
    <WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
    <AutomaticVPNPolicy>true
        <TrustedDNSDomains>...</TrustedDNSDomains>
        <TrustedNetworkPolicy>Disconnect</TrustedNetworkPolicy>
        <UntrustedNetworkPolicy>Connect</UntrustedNetworkPolicy>
        <AlwaysOn>false
        </AlwaysOn>
    </AutomaticVPNPolicy>
    <PPPExclusion UserControllable="false">Disable
        <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
    </PPPExclusion>
    <EnableScripting UserControllable="false">false</EnableScripting>
    <CertificateMatch>
        <KeyUsage>
            <MatchKey>Key_Encipherment</MatchKey>
            <MatchKey>Digital_Signature</MatchKey>
        </KeyUsage>
        <ExtendedKeyUsage>
            <ExtendedMatchKey>ClientAuth</ExtendedMatchKey>
        </ExtendedKeyUsage>
        <DistinguishedName>
            <DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled" MatchCase="Enabled">
                <Name>ISSUER-CN</Name>
                <Pattern>Seamless Access CA</Pattern>
            </DistinguishedNameDefinition>
        </DistinguishedName>
    </CertificateMatch>
    <EnableAutomaticServerSelection UserControllable="true">false
        <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
        <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
    </EnableAutomaticServerSelection>
    <RetainVpnOnLogoff>false
    </RetainVpnOnLogoff>
    <AllowManualHostInput>true</AllowManualHostInput>
</ClientInitialization>

(TrustedDNSDomains видалено з міркувань конфіденційності).

cisco-vpn-client 
ChaimKut
джерело
Чи ввімкнено довірене виявлення мережі у профілі VPN?
Махеш
@Mahesh ви, мабуть, правильно. Я використовую ноутбук із зображенням ОС своєї компанії, і схоже, що він не включає редактор профілів AnyConnect або диспетчер адаптивних пристроїв безпеки. Будь-які ідеї, як я можу змінити свої VPN-профілі? Можливо, через реєстр Windows?
ChaimKut
Змінення профілю не є хорошою ідеєю, оскільки профіль оновлюється щоразу, коли ви встановлюєте з'єднання з точкою доступу VPN. Однак якщо адміністратор зробив керовану функцію TND користувачем, ви можете досягти того, що шукаєте. Якщо ви натиснете на VPN (це насправді інтерактивне посилання) на інтерфейсі користувача, він відобразить налаштування користувачів. І якщо адміністратор зробив функцію TND користувачем керованою, ви можете відключити цю функцію у вікні налаштувань. Це допоможе не ініціювати підключення до автоматизації при зміні мереж WiFi.
Махеш
@Mahesh На жаль, схоже, це мій адміністратор відключений. У будь-якому випадку, якщо ви скопіюєте / вставте своє рішення у "Відповідь" нижче, я буду радий прийняти його як офіційну відповідь.
ChaimKut
Перш ніж ми зробимо висновок, що TND є винуватцем вашої справи для автоматичного підключення, чи можете ви відредагувати це питання <ClientInitialization>інформацією, наявною у профілі VPN. VPN-профіль - це XML-файл, присутній у C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile.
Махеш

Відповіді:

2

Довірене виявлення мережі (TND) - це не захищена користувачем функція безпеки. Це застосовується вашим адміністратором точки доступу до VPN через профіль VPN.

Коли домен DNS клієнта не потрапляє до перелічених доменів у профілі VPN, AnyConnect вважає, що клієнт знаходиться під недовіреним доменом та вживає дій, що базуються на політиці TND у профілі VPN. У вашому випадку ненадійною мережевою політикою є встановлення VPN-з'єднання (що в будь-якому разі має бути діяти для ненадійних мереж). І так, велика ймовірність, що AnyConnect автоматично ініціює VPN-з'єднання, коли ви перемикаєте мережі Wi-Fi через функцію TND.

Якщо ваш адміністратор налаштував AlwaysOn також для AutomaticVPNPolicy , ви будете заблоковані з доступу до Інтернету, якщо не встановлено VPN-з'єднання.

PS: Контроль користувачів не стосується функції TND і вибачте за мої оманливі коментарі раніше.

Махеш
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.