Як дозволити доступ до локальної локальної мережі під час підключення до VPN Cisco?

Як я можу підтримувати доступ до локальної локальної мережі під час підключення до VPN Cisco?

Під час підключення за допомогою Cisco VPN сервер має можливість вказувати клієнту запобігати локальний доступ до локальної мережі.

Якщо припустити, що цей параметр на стороні сервера не можна вимкнути, як можна дозволити доступ до локальної локальної мережі під час з'єднання з клієнтом Cisco VPN?

Я думав, що це просто питання про додавання маршрутів, які захоплюють трафік локальної мережі з більш високою метрикою, наприклад:

  Network 
Destination      Netmask        Gateway       Interface  Metric
   10.0.0.0  255.255.0.0       10.0.0.3        10.0.0.3      20  <--Local LAN
   10.0.0.0  255.255.0.0  192.168.199.1  192.168.199.12       1  <--VPN Link

І спроба видалити 10.0.x.x -> 192.168.199.12маршрут не впливає:

>route delete 10.0.0.0
>route delete 10.0.0.0 mask 255.255.0.0
>route delete 10.0.0.0 mask 255.255.0.0 192.168.199.1
>route delete 10.0.0.0 mask 255.255.0.0 192.168.199.1 if 192.168.199.12
>route delete 10.0.0.0 mask 255.255.0.0 192.168.199.1 if 0x3

І хоча це все ще може бути просто проблемою маршрутизації, спроби додати або видалити маршрути не можуть.

На якому рівні клієнтський драйвер Cisco VPN робить те, що в стеці мереж, яка перекриває можливість місцевого адміністратора адмініструвати свою машину?

Клієнт VPN Cisco не може використовувати магію. Це все ще програмне забезпечення, яке працює на моєму комп’ютері. Який механізм використовується для втручання в мережу моєї машини? Що відбувається, коли в мережу надходить пакет IP / ICMP? Де в мережевому стеку пакет з'їдається?

Дивитися також

• Немає підключення до Інтернету з VPN Cisco
• Клієнт Cisco VPN перериває зв’язок із моїм сервером LDAP
• VPN Cisco зупиняє перегляд Windows 7
• Як я можу заборонити створення маршруту в Windows XP після підключення до VPN Cisco?
• Перенаправлення локального трафіку локальної мережі та Інтернету в VPN
• Клієнт VPN "Дозволити доступ до локальної мережі"
• Дозволити доступ до локальної локальної мережі для клієнтів VPN на прикладі налаштування концентратора VPN 3000
• Підключення до локальної мережі підключилося до VPN
• Документація Windows XP: Маршрут

Редагувати: речі, які я ще не пробував:

>route delete 10.0.*

Оновлення: Оскільки Cisco відмовився від свого старого клієнта на користь AnyConnect (VPN на основі HTTP SSL), це питання, невирішене, може бути залишене як пережиток історії.

Ідучи вперед, ми можемо спробувати вирішити ту саму проблему зі своїм новим клієнтом .

Проблема з Anyconnect полягає в тому, що він спочатку модифікує таблицю маршрутизації, потім несе її та виправляє, якщо ви її вручну модифікуєте. Я знайшов вирішення цього питання. Працює з версіями 3.1.00495, 3.1.05152, 3.1.05170 та, ймовірно, будь-чим іншим у родині 3.1. Може працювати з іншими версіями, принаймні подібна ідея повинна працювати, якщо код не буде переписаний. На щастя для нас, Cisco помістила виклик няні "дитина прокидається" у спільну бібліотеку. Отже, ідея полягає в тому, що ми запобігаємо дії vpnagentd через LD_PRELOAD.

1. Спочатку створюємо файл hack.c:

   #include <sys/socket.h>
   #include <linux/netlink.h>
   
   int _ZN27CInterfaceRouteMonitorLinux20routeCallbackHandlerEv()
   {
     int fd=50;          // max fd to try
     char buf[8192];
     struct sockaddr_nl sa;
     socklen_t len = sizeof(sa);
   
     while (fd) {
        if (!getsockname(fd, (struct sockaddr *)&sa, &len)) {
           if (sa.nl_family == AF_NETLINK) {
              ssize_t n = recv(fd, buf, sizeof(buf), MSG_DONTWAIT);
           }
        }
        fd--;
     }
     return 0;
   }
   

2. Потім складіть його так:

   gcc -o libhack.so -shared -fPIC hack.c
   

3. Встановіть libhack.soу шлях бібліотеки Cisco:

   sudo cp libhack.so  /opt/cisco/anyconnect/lib/
   

4. Збийте агент:

   /etc/init.d/vpnagentd stop
   

5. Переконайтесь, що він справді знижений

   ps auxw | grep vpnagentd
   

   Якщо ні, kill -9просто щоб бути впевненим.

6. Потім виправте /etc/init.d/vpnagentd, додавши LD_PRELOAD=/opt/cisco/anyconnect/lib/libhack.so місце виклику vpnagentd, щоб воно виглядало так:

   LD_PRELOAD=/opt/cisco/anyconnect/lib/libhack.so /opt/cisco/anyconnect/bin/vpnagentd
   

7. Тепер запустіть агент:

   /etc/init.d/vpnagentd start
   

8. Виправте iptables, оскільки AnyConnect спілкується з ними:

   iptables-save | grep -v DROP | iptables-restore
   

   Тут ви можете зробити щось більш досконале, щоб дозволити доступ лише до певних хостів LAN.

9. Тепер виправте маршрути як завгодно, наприклад:

   route add -net 192.168.1.0 netmask 255.255.255.0 dev wlan0
   

10. Перевірте, чи вони там справді:

    route -n
    

Попередня, простіша версія цього хака давала функцію, яка виконувала лише "return 0;" - цей плакат зазначив, що "Єдиним побічним ефектом, який я спостерігав до цього часу, є те, що vpnagentd використовує 100% процесора, як повідомляється вгорі, але загальний процесор - це лише 3% користувачів і 20% системи, і система чудово реагує на . Я розтягнув це, здається, робимо два вибору в циклі, коли простої повертаються з обох швидко, але він ніколи не читає і не записує - я вважаю, повинен був прочитати дзвінок, який я припинив за допомогою LD_PRELOAD. Можливо, буде більш чистий спосіб зробити це, але поки що для мене це досить добре. Якщо у когось є краще рішення, будь ласка, поділіться ".

Проблема з тривіальним хаком полягає в тому, що це спричиняло, що одне ядро ​​процесора буде на 100% весь час, що фактично зменшує кількість ваших апаратних процесорів на одиницю - незалежно від того, чи було ваше з'єднання vpn активним чи ні. Я помітив, що вибраний код робився на розетці netlink, яка надсилає дані vpnagentd, коли змінюється таблиця маршрутизації. vpnagentd постійно помічає, що з’являється нове повідомлення в сокеті netlink та закликає routeCallBackHandler для вирішення цього питання, але оскільки тривіальний хак не очищає нове повідомлення, він просто продовжує дзвонити знову і знову. новий код, наведений вище, змиває дані netlink, тому нескінченний цикл, який спричинив 100% процесор, не відбувається.

Якщо щось не працює, зробіть gdb -p $(pidof vpnagentd), як тільки додається:

b socket
c
bt

і подивіться, у якому дзвінку ви перебуваєте. Потім просто здогадайтесь, який саме ви хочете вирізати, додайте його до hack.c та перекомпілюйте.

Це ДУЖЕ складно, але якщо ви створюєте мінімальну VM за допомогою VMWare Player або подібного і запускаєте клієнт VPN-сервера Cisco AnyConnect в цьому, можливо, можливо налаштувати маршрутизацію, як ви хочете, використовуючи адаптери віртуальної мережі VMWare або просто використовувати VM для доступу до будь-яких ресурсів, необхідних через VPN Cisco SSL та файли "перетягування / перетягування" в / з фактичної машини.

Програмне забезпечення Shrew Soft VPN зробило для мене і фокус, як запропонував Ian Boyd .

Він може імпортувати профілі клієнтів Cisco VPN. Я використав клієнтську версію Cisco VPN 5.0.05.0290, і після встановлення Shrew VPN (версія 2.1.7) та імпортування профілю Cisco я зміг отримати доступ до локальної локальної мережі під час підключення до корпоративного VPN без додаткової конфігурації Shrew VPN-з'єднання (або програмне забезпечення).

Дякуємо Саші Пачеву за хороший хакер вище.

vpnagentdтакож поспішає з резолютором, замінивши внесені зміни /etc/resolv.conf. Я вирішив це, врешті вигравши гонку проти нього:

#!/bin/bash

dnsfix() {
    [ -f /etc/resolv.conf.vpnbackup ] || echo "Not connected?" >&2 || return 0 # do nothing in case of failure
    while ! diff -q /etc/resolv.conf /etc/resolv.conf.vpnbackup #>/dev/null
    do
         cat /etc/resolv.conf.vpnbackup >/etc/resolv.conf
    done
    chattr +i /etc/resolv.conf
    diff -q /etc/resolv.conf /etc/resolv.conf.vpnbackup >/dev/null 
}

while ! dnsfix
do
    echo "Retrying..."
    chattr -i /etc/resolv.conf
done

Не забувайте chattr -i /etc/resolv.confпри відключенні.

Я намагаюся вирішити це шляхом перехоплення зворотного дзвінка, як для методу маршрутів вище, але поки не можу знайти відповідний зворотний дзвінок або метод.

Update1 / 2: straceвиявлено, що vpnagentdвикористовується inotifyAPI для моніторингу змін у файлі резолюції . Звідти він був під гору. Ось додатковий злом:

int _ZN18CFileSystemWatcher11AddNewWatchESsj(void *string, unsigned int integer)
{
  return 0;
}

Це трохи надмірне навантаження, дозволене, оскільки воно відключає перегляд усіх файлів для агента. Але, здається, працює нормально.

Сценарій обгортки клієнта vpn нижче інтегрує всю функціональність (оновлений, щоб включити цей додатковий хак). chattrбільше не використовується / не потрібна.

Оновлення 3: Виправлені налаштування імені користувача / пароля в сценарії. Тепер він використовує vpn.confфайл у форматі, описаному нижче (і лише для кореневих дозволів).

#!/bin/bash

# Change this as needed
CONF="/etc/vpnc/vpn.conf"
# vpn.conf format
#gateway <IP>
#username <username>
#password <password>
#delete_routes <"route spec"...> eg. "default gw 0.0.0.0 dev cscotun0"
#add_routes <"route spec"...> eg. "-net 192.168.10.0 netmask 255.255.255.0 dev cscotun0" "-host 10.10.10.1 dev cscotun0"

ANYCONNECT="/opt/cisco/anyconnect"

usage() {
    echo "Usage: $0 {connect|disconnect|state|stats|hack}"
    exit 1
}

CMD="$1"
[ -z "$CMD" ] && usage

ID=`id -u`

VPNC="$ANYCONNECT/bin/vpn"

dnsfix() {
    [ -f /etc/resolv.conf.vpnbackup ] || echo "Not connected?" >&2 || return 0 # do nothing in case of failure
    while ! diff -q /etc/resolv.conf /etc/resolv.conf.vpnbackup >/dev/null
    do
         cat /etc/resolv.conf.vpnbackup >/etc/resolv.conf
    done
#    chattr +i /etc/resolv.conf
    diff -q /etc/resolv.conf /etc/resolv.conf.vpnbackup >/dev/null 
}

case "$CMD" in
    "connect")
        [ $ID -ne 0 ] && echo "Needs root." && exit 1
        HOST=`grep ^gateway $CONF | awk '{print $2}'`
        USER=`grep ^user $CONF | awk '{print $2}'`
        PASS=`grep ^password $CONF | awk '{print $2}'`
        OLDIFS=$IFS
        IFS='"'
        DEL_ROUTES=(`sed -n '/^delete_routes/{s/delete_routes[ \t\"]*//;s/\"[ \t]*\"/\"/g;p}' $CONF`)
        ADD_ROUTES=(`sed -n '/^add_routes/{s/add_routes[ \t\"]*//;s/\"[ \t]*\"/\"/g;p}' $CONF`)
        IFS=$OLDIFS

        /usr/bin/expect <<EOF
set vpn_client "$VPNC";
set ip "$HOST";
set user "$USER";
set pass "$PASS";
set timeout 5
spawn \$vpn_client connect \$ip
match_max 100000
expect { 
    timeout {
        puts "timeout error\n"
        spawn killall \$vpn_client
        exit 1
    }
    ">> The VPN client is not connected." { exit 0};
    ">> state: Disconnecting" { exit 0};
    "Connect Anyway?"
}
sleep .1
send -- "y\r"
expect { 
    timeout {
        puts "timeout error\n"
        spawn killall \$vpn_client
        exit 1
    }
    "Username:"
}
sleep .1
send -- "\$user\r"
expect { 
    timeout {
        puts "timeout error\n"
        spawn killall \$vpn_client
        exit 1
    }
    "Password: "
}
send -- "\$pass\r";
expect eof
EOF
        sleep 2
        # iptables
        iptables-save | grep -v DROP | iptables-restore

        # routes
        for ROUTE in "${DEL_ROUTES[@]}"
        do
#            echo route del $ROUTE
            route del $ROUTE
        done
        for ROUTE in "${ADD_ROUTES[@]}"
        do
#            echo route add $ROUTE
            route add $ROUTE
        done

        # dns
        while ! dnsfix
        do
            echo "Try again..."
#            chattr -i /etc/resolv.conf
        done

        echo "done."
        ;;
    "disconnect")
#        [ $ID -ne 0 ] && echo "Needs root." && exit 1
        # dns
#        chattr -i /etc/resolv.conf

        $VPNC disconnect
        ;;
    "state"|"stats")
        $VPNC $CMD
        ;;
    "hack")
        [ $ID -ne 0 ] && echo "Needs root." && exit 1
        /etc/init.d/vpnagentd stop
        sleep 1
        killall -9 vpnagentd 2>/dev/null
        cat - >/tmp/hack.c <<EOF
#include <sys/socket.h>
#include <linux/netlink.h>

int _ZN27CInterfaceRouteMonitorLinux20routeCallbackHandlerEv()
{
  int fd=50;          // max fd to try
  char buf[8192];
  struct sockaddr_nl sa;
  socklen_t len = sizeof(sa);

  while (fd) {
     if (!getsockname(fd, (struct sockaddr *)&sa, &len)) {
        if (sa.nl_family == AF_NETLINK) {
           ssize_t n = recv(fd, buf, sizeof(buf), MSG_DONTWAIT);
        }
     }
     fd--;
  }
  return 0;
}

int _ZN18CFileSystemWatcher11AddNewWatchESsj(void *string, unsigned int integer)
{
  return 0;
}
EOF
        gcc -o /tmp/libhack.so -shared -fPIC /tmp/hack.c
        mv /tmp/libhack.so $ANYCONNECT
        sed -i "s+^\([ \t]*\)$ANYCONNECT/bin/vpnagentd+\1LD_PRELOAD=$ANYCONNECT/lib/libhack.so $ANYCONNECT/bin/vpnagentd+" /etc/init.d/vpnagentd
        rm -f /tmp/hack.c
        /etc/init.d/vpnagentd start
        echo "done."
        ;;
    *)
        usage
        ;;
esac

Моя компанія до цих пір використовує цей vpn. Клієнт vpnc просто змінює параметри iptables таким чином:

# iptables-save
# Створено iptables-save v1.4.10 в неділю 17 червня 14:12:20 2012
* фільтр
: ВХІДНА КРАПА [0: 0]
: Вперед, прийняти [0: 0]
: КОРОТКА ВИХІД [0: 0]
-A ВХОД -s 123.244.255.254/32 -d 192.168.0.14/32 -j ACCEPT 
-A ВХОД -i tun0 -j ПРИЙМАНО 
-A ВХОД -i lo0 -j ПРИЙМАНО
-А ВХОД -j ДРОП 
-A ВИХІД -s 192.168.0.14/32 -d 123.244.255.254/32 -j ACCEPT 
-A ВИХІД -o tun0 -j ПРИЙМАНО 
-A ВИХІД -o lo0 -j ПРИЙМАНО 
-А ВИХІД -j КРАЧ 
КОМІТЕТ

Він фільтрує всі, крім трафіку vpn.

Просто заведіть фільтр у файл із iptables-save, додайте лінії доступу INPUT та OUTPOUT, які відповідають вашим потребам, і повторно застосуйте файл із iptables-Restost.

наприклад, для доступу до локальної мережі на 192.168.0

# Створено iptables-save v1.4.10 в неділю 17 червня 14:12:20 2012
* фільтр
: ВХІДНА КРАПА [0: 0]
: Вперед, прийняти [0: 0]
: КОРОТКА ВИХІД [0: 0]
-A ВХОД -s 123.244.255.254/32 -d 192.168.0.14/32 -j ACCEPT 
-A Вхід -s 192.168.0.0/24 -d 192.168.0.14/32 -j ACCEPT #local у
-A ВХОД -i tun0 -j ПРИЙМАНО 
-A ВХОД -i lo0 -j ПРИЙМАНО 
-А ВХОД -j ДРОП 
-A ВИХІД -s 192.168.0.14/32 -d 123.244.255.254/32 -j ACCEPT 
-A OUTPUT -s 192.168.0.14/32 -d 192.168.0.0/24 -j ACCEPT #local out
-A ВИХІД -o tun0 -j ПРИЙМАНО 
-A ВИХІД -o lo0 -j ПРИЙМАНО 
-А ВИХІД -j КРАЧ 
КОМІТЕТ

Будь-які новини з цього приводу?

На якому рівні клієнтський драйвер Cisco VPN робить те, що в стеці мереж, яка перекриває можливість місцевого адміністратора адмініструвати свою машину?

Я повністю згоден і цікавився того ж самого.

У будь-якому випадку, це додаток, для якого потрібні права адміністратора для встановлення, і він працює, але він може дуже добре фільтрувати те, що ви робите ...

Мої спроби в Windows теж не вдається:

route change 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1
 OK!

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.230     21 <-- LAN
          0.0.0.0          0.0.0.0    192.168.120.1    192.168.120.3      2 <-- VPN

Ха-ха. Тут немає показників нижче 20.

Я не знаю, чи правильно я це зрозумів, але спершу роз’яснюю своє розуміння:

У вас локальна локальна мережа (наприклад, 10.0.0.0/16 та віддалений сервер VPN Cisco (наприклад, 64.0.0.0/16). Ви хочете підключитися до сервера VPN через клієнт Cisco VPN, але все ж вам потрібно мати доступ до локальної мережі. У цьому випадку потрібно відділити цілі 10.0.xx / 16 від VPN-з'єднання). У клієнті Mac слід додати наступний маршрут:

/sbin/route add -net 10.0 -interface en1

де en1 - інтерфейс, через який ви підключені до вашої локальної мережі. Я знаю, що ви можете додати те саме в Windows та Linux.

Оскільки я не можу додавати коментарі, я опублікую тут. Я працюю під Windows.

Рішення за допомогою віртуальної машини та запустіть AnyConnect всередині VM, а потім використовувати VM в якості посередника між робочим середовищем та мережею компанії, не працюватиме, якщо ваш "улюблений" ІТ-відділ здійснюватиме маршрутизацію 0.0.0.0 через VPN, таким чином, навіть локальну мережу (включаючи цю між вашим локальним ПК та VM) проходить через VPN (sic!).

Я спробував застосувати рішення, розміщене @Sasha Pachev, але врешті-решт я закінчив патч .dll, так що він повертає 0 на початку функції. Врешті-решт, після боротьби з динамічною бібліотекою, я зміг змінити таблиці маршрутів відповідно до моїх потреб, але, очевидно, цього недостатньо!

Незважаючи на те, що мої правила здаються правильними для досягнення розділеного тунелювання, я все одно отримую загальну невдачу. Чи стикалися ви з подібною проблемою, яку змогли вирішити?

• Мій шлюз до Інтернету - 192.168.163.2
• Мій вихід в мережу компанії є 10.64.202.1 (таким чином , вся 10. . . * Підмережа Лечу , як «Comapny в»)

Ось так виглядає моя таблиця маршрутизації зараз (після ручних змін, поки VPN увімкнено)

але результат ping наступний

C:\Users\Mike>ping -n 1 10.64.10.11
Reply from 10.64.10.11: bytes=32 time=162ms TTL=127

C:\Users\Mike>ping -n 1 8.8.8.8
PING: transmit failed. General failure.

C:\Users\Mike>ping -n 1 192.168.163.2
General failure.

Для ознайомлення нижче, як виглядає таблиця маршруту при відключенні VPN (без змін)

і ось так виглядає таблиця, коли VPN підключений (незмінний) у тому випадку, коли я намагаюся пінг, 8.8.8.8я просто отримую тайм-аут (оскільки брандмауер компанії не дозволяє трафіку виходити за межі внутрішньої мережі)

Для тих, хто хоче підтримувати контроль над своєю таблицею маршрутизації під час використання SSN VPN Cisco AnyConnect, перегляньте OpenConnect . Він підтримує SSN VPN Cisco AnyConnect і не намагається порушити або «захистити» записи таблиці таблиці маршрутизації. @ Вадим на це натякає у коментарі вище .

Перепробувавши все, крім виправлення клієнта Secure Mobility AnyConnect, я зміг успішно замінити його на Windows на графічний інтерфейс OpenConnect . Це дозволило мені підтримувати зв’язок із локальними ресурсами (та оновлювати таблицю маршрутизації).

Я використовую OpenConnect в Windows, але він також підтримує Linux, BSD та macOS (серед інших платформ) відповідно до сторінки проекту .

Спробуйте видалити ці записи за допомогою шлюзу, 10.64.202.13подивіться, чи 8.8.8.8працює ping, а потім додайте їх по черзі та визначте, яка з них спричиняє проблеми.

Як ви закріпили DLL. Я навіть не можу змінити таблицю маршрутизації, оскільки вона постійно додає 0.0.0.0шлюз VPN назад.