Klient Cisco AnyConnect SSL VPN umożliwia dostęp do lokalnej sieci LAN, ale nie na dodatkowym serwerze multi-homed

17

Mamy maszynę do łączenia się przez Cisco SSL VPN ( \\speeder).

mogę pingować nasze speederna 10.0.0.3:

wprowadź opis zdjęcia tutaj

Poniższa tabela routingu \\speederpokazuje wiele adresów IP, które mu przypisaliśmy:

wprowadź opis zdjęcia tutaj

Po połączeniu z klientem Cisco AnyConnect VPN:

wprowadź opis zdjęcia tutaj

nie możemy już pingować \\speeder:

wprowadź opis zdjęcia tutaj

Chociaż istnieją nowe wpisy routingu dla karty Cisco VPN, żadne istniejące wpisy routingu nie zostały zmodyfikowane po połączeniu:

wprowadź opis zdjęcia tutaj

Należy się spodziewać, że nie możemy pingować adresu IP Speedera na karcie Cisco VPN (192.168.199.20), ponieważ znajduje się ona w innej podsieci niż nasza sieć (mamy 10.0.xx 255.255.0.0), tj .:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Występuje problem polegający na tym, że nie możemy pingować istniejących adresów IP na \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

itp

Co ciekawe i może stanowić wskazówkę, istnieje jeden adres, z którym możemy się komunikować:

wprowadź opis zdjęcia tutaj

Ten adres to może pingować i komunikować się z:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Co wyróżnia ten jeden adres IP? Ten jeden adres IP ma tę zaletę, że jest „głównym” adresem:

wprowadź opis zdjęcia tutaj

W przeciwieństwie do adresów, których używamy, które są adresami „dodatkowymi”:

wprowadź opis zdjęcia tutaj

Podsumowując, gdy klient Cisco AnyConnect VPN łączy się, blokuje nas przed adresem typu „wszystko oprócz jednego” powiązanym z komputerem.

Potrzebujemy klienta Cisco, aby przestał to robić.

Czy ktoś wie, jak sprawić, aby klient Cisco AnyConnect SSL VPN przestał to robić?

Uwaga : Firepass SSL VPN z F5 Networks nie ma tego samego problemu.

Skontaktowaliśmy się z Cisco, a oni twierdzą, że ta konfiguracja nie jest obsługiwana.

Ian Boyd
źródło

Odpowiedzi:

1

Kilka tygodni temu zgłosiłem Cisco Bug ID CSCts12090 (wymagane CCO) do Cisco. Właśnie zacząłem używać AnyConnect około 6 miesięcy temu i używałem tylko wersji 3.0 i nowszych. Wygląda na to, że używasz wersji wcześniejszej niż 3.0.

W każdym razie zgłoszony przeze mnie błąd jest bardzo podobny (ale gorzej). AnyConnect nie może nawiązać połączenia, gdy wiele adresów IP jest przypisanych do lokalnej karty sieciowej w niektórych przypadkach. Zobacz pełny raport o błędzie, do którego odsyłano wcześniej, aby uzyskać szczegółowe informacje. To był potwierdzony błąd i zostanie naprawiony w AC 3.1. AC 3.1 obiecuje, jak już powiedziano, być dość dużym przepisem kodu aktualizacji lokalnej tablicy routingu, który to naprawi, i mnóstwem innych dziwactw z AC.

Chociaż występujący problem nie jest dokładnie taki, jak ten, który zgłosiłem w CSCts12090, jest niesamowicie podobny.

Tkacz
źródło
... błędnie podobne; a może może zostać naprawione przez ponowne zapisanie.
Ian Boyd,
1

Adapter VPN Cisco jest wyjątkowy, ponieważ w trybie „domyślnym” jest przeznaczony do przesyłania każdej ostatniej części ruchu sieciowego przez łącze tunelu. Odzwierciedlałem tę konfigurację do przetestowania, a normalny tunel nawet nie pozwoliłby mi pingować podstawowego adresu lokalnego interfejsu.

Jednak w przypadku podzielonego tunelu, w którym adapter VPN obsługuje ruch tylko dla określonych sieci, wydaje się, że świetnie sprawdza się w przypadku adresów wtórnych.

Jeśli możesz, zmień konfigurację połączenia na dzielony tunel; jeśli twoim punktem końcowym jest ASA, będzie to split-tunnel-policyi split-tunnel-network-listkomendy w odpowiednim group-policy.

Shane Madden
źródło
1
Taka była terminologia „podzielony tunel” tego, co włączono na serwerze; i to się nie zmieniło. („ Token RSA dla profilu SSL_Vendor ma teraz włączone dzielone tunelowanie. Powinno to umożliwić dostawcom dostęp do ich lokalnej sieci LAN po podłączeniu ”) Umożliwiło to lokalnej sieci LAN dostęp do komputera klienta VPN na „głównym” IP (podczas gdy wcześniej nie mogliśmy) - ale nie pozwalało to na połączenia z komputerami klienckimi VPN za pośrednictwem innych adresów IP.
Ian Boyd,