Cisco AnyConnect SSL VPN istemcisi yerel LAN erişimine izin verir, ancak ek çok bağlantılı sunucuda izin vermez

Cisco SSL VPN ( \\speeder) üzerinden bağlanmak için bir makinemiz var .

bizim speederüzerinde ping yapabilirsiniz 10.0.0.3:

Yönlendirme tablosu \\speeder, kendisine atadığımız birden çok IP adresini gösterir:

Cisco AnyConnect VPN istemcisine bağlandıktan sonra:

artık ping yapamıyoruz \\speeder:

Cisco VPN bağdaştırıcısı için yeni yönlendirme girişleri olsa da, bağlantıdan sonra mevcut yönlendirme girişleri değiştirilmedi:

Cisco VPN bağdaştırıcısında (192.168.199.20) Speeder'ın IP adresine ping atamamamız bekleniyor çünkü ağımızdan farklı bir alt ağda (10.0.xx 255.255.0.0'ız), yani:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Yaşadığımız sorun şu anda mevcut IP adreslerine ping atamıyoruz \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

vb

İlginç olan ve bir ipucu sağlayabilecek olan , iletişim kurabileceğimiz bir adres olması:

Ping atabileceğimiz ve iletişim kurabileceğimiz bu adres :

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Bu bir IP adresini özel yapan nedir ? Bu bir IP adresi, "ana" adres olma erdemine sahiptir:

Kullandığımız adreslerin aksine "ek" adresler:

Özetlemek gerekirse, Cisco AnyConnect VPN istemcisi bağlandığında, bizi bilgisayarla ilişkili hepsi bir arada adresden engeller.

Bunu yapmak için Cisco Client'a ihtiyacımız var.

Cisco AnyConnect SSL VPN istemcisinin bunu yapmayı nasıl durduracağını bilen var mı?

Not : F5 Networks'ten gelen Firepass SSL VPN aynı sorunu yaşamaz .

Cisco ile iletişime geçtik ve bu yapılandırmanın desteklenmediğini söylüyorlar.

Birkaç hafta önce Cisco Bug ID CSCts12090'ı (CCO gerekli) rapor ettim . Yaklaşık 6 ay önce AnyConnect kullanmaya başladım ve yalnızca 3.0 ve sonraki sürümleri kullandım. 3.0'dan önceki bir sürümü kullandığınız anlaşılıyor.

Her neyse, rapor ettiğim hata çok benzer (ama daha kötü). Belirli durumlarda yerel NIC'ye birden fazla IP atandığında AnyConnect başarıyla bağlanamaz. Ayrıntılı bilgi için daha önce bağlanan hata raporunun tamamına bakın. Bu onaylanmış bir hataydı ve AC 3.1'de düzeltilecek. AC 3.1, bana söylendiği gibi, bunu giderecek yerel yönlendirme tablosu güncelleme kodunun oldukça büyük bir yeniden yazılması ve AC ile diğer tuhaflıkların bir miktarını vaat ediyor.

Yaşadığınız sorun CSCts12090'da bildirdiğim sorunla tam olarak aynı olmasa da, benzer şekilde.

Cisco VPN bağdaştırıcısı özeldir, "varsayılan" modda, ağ trafiğinin her bitini tünelin bağlantısı üzerinden göndermek için tasarlanmıştır. Bu yapılandırmayı test etmek için yansıttım ve normal bir tünel aslında yerel arayüzün birincil adresine ping göndermeme bile izin vermedi.

Ancak, VPN bağdaştırıcısının yalnızca belirtilen ağlar için trafiği işlediği bölünmüş bir tünelde, ikincil adresler için harika çalışıyor gibi görünüyor.

Yapabiliyorsanız, bağlantının yapılandırmasını bölünmüş bir tünel olarak değiştirin; uç noktanız bir ASA ise, ilgili split-tunnel-policyve split-tunnel-network-listkomutları olacaktır group-policy.