Klient Cisco AnyConnect SSL VPN umożliwia dostęp do lokalnej sieci LAN, ale nie na dodatkowym serwerze multi-homed

Mamy maszynę do łączenia się przez Cisco SSL VPN ( \\speeder).

mogę pingować nasze speederna 10.0.0.3:

Poniższa tabela routingu \\speederpokazuje wiele adresów IP, które mu przypisaliśmy:

Po połączeniu z klientem Cisco AnyConnect VPN:

nie możemy już pingować \\speeder:

Chociaż istnieją nowe wpisy routingu dla karty Cisco VPN, żadne istniejące wpisy routingu nie zostały zmodyfikowane po połączeniu:

Należy się spodziewać, że nie możemy pingować adresu IP Speedera na karcie Cisco VPN (192.168.199.20), ponieważ znajduje się ona w innej podsieci niż nasza sieć (mamy 10.0.xx 255.255.0.0), tj .:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Występuje problem polegający na tym, że nie możemy pingować istniejących adresów IP na \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

itp

Co ciekawe i może stanowić wskazówkę, istnieje jeden adres, z którym możemy się komunikować:

Ten adres to może pingować i komunikować się z:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Co wyróżnia ten jeden adres IP? Ten jeden adres IP ma tę zaletę, że jest „głównym” adresem:

W przeciwieństwie do adresów, których używamy, które są adresami „dodatkowymi”:

Podsumowując, gdy klient Cisco AnyConnect VPN łączy się, blokuje nas przed adresem typu „wszystko oprócz jednego” powiązanym z komputerem.

Potrzebujemy klienta Cisco, aby przestał to robić.

Czy ktoś wie, jak sprawić, aby klient Cisco AnyConnect SSL VPN przestał to robić?

Uwaga : Firepass SSL VPN z F5 Networks nie ma tego samego problemu.

Skontaktowaliśmy się z Cisco, a oni twierdzą, że ta konfiguracja nie jest obsługiwana.

Kilka tygodni temu zgłosiłem Cisco Bug ID CSCts12090 (wymagane CCO) do Cisco. Właśnie zacząłem używać AnyConnect około 6 miesięcy temu i używałem tylko wersji 3.0 i nowszych. Wygląda na to, że używasz wersji wcześniejszej niż 3.0.

W każdym razie zgłoszony przeze mnie błąd jest bardzo podobny (ale gorzej). AnyConnect nie może nawiązać połączenia, gdy wiele adresów IP jest przypisanych do lokalnej karty sieciowej w niektórych przypadkach. Zobacz pełny raport o błędzie, do którego odsyłano wcześniej, aby uzyskać szczegółowe informacje. To był potwierdzony błąd i zostanie naprawiony w AC 3.1. AC 3.1 obiecuje, jak już powiedziano, być dość dużym przepisem kodu aktualizacji lokalnej tablicy routingu, który to naprawi, i mnóstwem innych dziwactw z AC.

Chociaż występujący problem nie jest dokładnie taki, jak ten, który zgłosiłem w CSCts12090, jest niesamowicie podobny.

Adapter VPN Cisco jest wyjątkowy, ponieważ w trybie „domyślnym” jest przeznaczony do przesyłania każdej ostatniej części ruchu sieciowego przez łącze tunelu. Odzwierciedlałem tę konfigurację do przetestowania, a normalny tunel nawet nie pozwoliłby mi pingować podstawowego adresu lokalnego interfejsu.

Jednak w przypadku podzielonego tunelu, w którym adapter VPN obsługuje ruch tylko dla określonych sieci, wydaje się, że świetnie sprawdza się w przypadku adresów wtórnych.

Jeśli możesz, zmień konfigurację połączenia na dzielony tunel; jeśli twoim punktem końcowym jest ASA, będzie to split-tunnel-policyi split-tunnel-network-listkomendy w odpowiednim group-policy.