Спліт тунель та Cisco AnyConnect

15

Я використовую Cisco AnyConnect Secure Mobility Client 3.1.02026 у Windows 7 64-розрядному. Я чув, що є прапорець, який дозволяє розділити тунелі. Однак цей прапорець знімається з графічного інтерфейсу, ймовірно, через налаштування адміністратора. Адміністратор не хоче вносити жодних змін у конфігурацію. Мені хотілося б змусити розділити тунелі. Як? Добре, якщо в рішенні використовується інший VPN-клієнт. Рішення не може внести жодних змін на сервер VPN. Я спробував віртуальну машину і вона працює, але хотілося б більш зручного рішення. Я спробував возитися з таблицею маршрутів, але, напевно, мені не вдалося через відсутність знань, як це зробити правильно.

Ось мій route printперед підключенням до VPN.

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Ось мій route printпісля підключення до VPN.

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
vpn  cisco-anyconnect  split-tunnel 
Натан
джерело
Вадим

Відповіді:

7

По-перше, зрозумійте, що причина того, що ваші адміністратори мережі заборонили розділений тунель, полягає в тому, що це потенційно дозволяє будь-якій шкідливій особі / коду обходити заходи безпеки, які були реалізовані під час доступу до мережі через ваш комп'ютер. Повірте, я знаю, що роздвоєний тунель дратує, але запитайте себе, чи варто ризикувати?

Тепер, коли попередження не виходять, я можу вам сказати, що Cisco AnyConnect запобігає розбиттю тунелю, тимчасово переписавши таблицю маршрутизації хост-комп'ютера. Використовуйте, route printперш ніж запустити AnyConnect, і знову використовуйте його, щоб побачити відмінності. Ви можете написати скрипт для налаштування таблиці маршрутизації та запустити його після запуску AnyConnect. Більш простим рішенням, яке, ймовірно, не порушує вашу політику використання мереж, є просто використання VM з AnyConnect. NIC вашого господаря не закривається, і ви не порушуєте жодних правил ... найкраще з обох світів.

ubiquibacon
джерело
4
Cisco AnyConnect запобігає роботі коригувань маршрутів у Windows.
Натан
0

Я не зрозумів, як розділити тунель із Cisco AnyConnect. Ось моя робота навколо.

Я намагався використовувати VPNC Front End, але загальне повідомлення про помилку заважало мені фіксувати налаштування з'єднання. Мені потрібно було додати "версію програми Cisco Systems VPN Client 4.8.01 (0640): Linux" у default.conf. Крім того, після встановлення зв'язку я не міг отримати доступ до нічого у віддаленій локальній мережі. Мені потрібно було створити пакетний файл, який додав маршрути для віддалених IP-адрес локальної мережі (наприклад route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180). Цей же пакетний файл також повинен був настроїти спочатку використання DNS-серверів віддаленої локальної мережі перед DNS-серверами мого провайдера (наприклад netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)

Щоб отримати більш детальне повідомлення про помилку, я дотримувався вказівок на BMC . Мені довелося встановити додаткові пакети: Net openssl, Devel Libs openssl-devel та Interpreters perl.

Натан
джерело
0

Хоча це не допоможе тому, хто намагається обійти безпеку, розміщену на ASA адміністратором, для когось, хто є адміністратором ASA, у Cisco є ця стаття про налаштування ASA та Anyconnect з розділеним доступом до тунелю:

Налаштуйте клієнт Secure Mobility AnyConnect за допомогою розділеного тунелю на ASA

MarkL
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.