Клиент Cisco AnyConnect SSL VPN разрешает доступ к локальной сети, но не на дополнительный многосетевой сервер


17

У нас есть машина для подключения через Cisco SSL VPN ( \\speeder).

я могу пинговать наши speederна 10.0.0.3:

введите описание изображения здесь

Таблица маршрутизации \\speederпоказывает несколько IP-адресов, которые мы ей присвоили:

введите описание изображения здесь

После соединения с клиентом Cisco AnyConnect VPN:

введите описание изображения здесь

мы больше не можем пинговать \\speeder:

введите описание изображения здесь

И хотя есть новые записи маршрутизации для адаптера Cisco VPN, никакие существующие записи маршрутизации не были изменены после подключения:

введите описание изображения здесь

Следует ожидать, что мы не можем пропинговать IP-адрес Speeder на адаптере Cisco VPN (192.168.199.20), потому что он находится в другой подсети, чем наша сеть (мы 10.0.xx 255.255.0.0), то есть:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Проблема, с которой мы сталкиваемся, заключается в том, что мы не можем пинговать существующие IP-адреса \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

и т.д

Что интересно и может дать подсказку, так это то, что есть один адрес, с которым мы можем общаться:

введите описание изображения здесь

Этот адрес мы можем пинговать и общаться с:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Что делает этот один адрес IP особенное? Этот один IP-адрес обладает тем преимуществом, что он является «основным» адресом:

введите описание изображения здесь

В отличие от используемых нами адресов, которые являются «дополнительными» адресами:

введите описание изображения здесь

Подводя итог, когда клиент Cisco AnyConnect VPN подключается, он блокирует нас от единственного адреса, связанного с компьютером.

Нам нужен клиент Cisco, чтобы прекратить это делать.

Кто-нибудь знает, как заставить клиента Cisco AnyConnect SSL VPN перестать это делать?

Примечание : Firepass SSL VPN от F5 Networks не страдает той же проблемой.

Мы связались с Cisco, и они говорят, что эта конфигурация не поддерживается.

Ответы:


1

Я сообщил Cisco Bug ID CSCts12090 (требуется CCO) в Cisco несколько недель назад. Я только начал использовать AnyConnect около 6 месяцев назад и использовал только версию 3.0 и выше. Похоже, вы используете версию ранее, чем 3.0.

Во всяком случае, ошибка, о которой я сообщил, очень похожа (но хуже). AnyConnect не может успешно соединиться, когда несколько IP назначены локальному NIC в определенных случаях. Смотрите полный отчет об ошибке, связанный ранее для получения полной информации. Это была подтвержденная ошибка, которая будет исправлена ​​в AC 3.1. AC 3.1 обещает, как мне сказали, довольно много переписать код обновления таблицы локальной маршрутизации, который исправит это и множество других причуд с AC.

Хотя проблема, с которой вы столкнулись, не совсем такая, как я описал в CSCts12090, она очень похожа.


... ошибочно похоже; и, возможно, может быть просто исправить с переписать.
Ян Бойд

1

Адаптер Cisco VPN отличается тем, что в режиме «по умолчанию» он предназначен для отправки всех последних битов сетевого трафика по каналу туннеля. Я отразил эту конфигурацию для тестирования, и обычный туннель даже не позволил мне пропинговать основной адрес локального интерфейса.

Однако с разделенным туннелем, где адаптер VPN обрабатывает трафик только для указанных сетей, он отлично работает для вторичных адресов.

Если вы можете, измените конфигурацию соединения на разделенный туннель; если ваша конечная точка является ASA, это будет split-tunnel-policyи split-tunnel-network-listкоманды в соответствующемgroup-policy .


1
Это была терминология «разделенный туннель» того, что было включено на сервере; и это не изменилось. (« В токене RSA для профиля SSL_Vendor теперь включено разделенное туннелирование. Теперь это должно позволять поставщикам получать доступ к своей локальной локальной сети при подключении »). Это позволило локальной сети получить доступ к клиентскому компьютеру vpn по «основному» IP (тогда как раньше мы не могли) - но это не позволило подключиться к клиентским компьютерам vpn через другие IP-адреса.
Ян Бойд
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.