Używam Cisco AnyConnect Secure Mobility Client 3.1.02026 na Windows 7 64-bit. Słyszałem, że jest pole wyboru, które umożliwia dzielone tunelowanie. Jednak to pole wyboru zostało usunięte z GUI prawdopodobnie ze względu na ustawienia administratora. Administrator nie chce dokonywać żadnych zmian konfiguracji. Chciałbym wymusić dzielone tunelowanie. W jaki sposób? Nie ma problemu, jeśli rozwiązanie korzysta z innego klienta VPN. Rozwiązanie nie może wprowadzać żadnych zmian na serwerze VPN. Wypróbowałem maszynę wirtualną i działa, ale chciałbym wygodniejszego rozwiązania. Próbowałem zadzierać z tablicą tras, ale prawdopodobnie nie udało mi się to z powodu braku wiedzy, jak to zrobić poprawnie.
Oto moje route print
przed połączeniem z VPN.
===========================================================================
Interface List
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 11
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.0 255.255.255.0 On-link 192.168.1.3 266
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
192.168.1.255 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
27 58 ::/0 On-link
1 306 ::1/128 On-link
27 58 2001::/32 On-link
27 306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
On-link
14 266 fe80::/64 On-link
27 306 fe80::/64 On-link
27 306 fe80::3431:3b25:b736:1859/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
1 306 ff00::/8 On-link
27 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Oto moje route print
po połączeniu z VPN.
===========================================================================
Interface List
19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
0.0.0.0 0.0.0.0 10.154.128.1 10.154.159.8 2
10.154.128.0 255.255.224.0 On-link 10.154.159.8 257
10.154.159.8 255.255.255.255 On-link 10.154.159.8 257
10.154.159.255 255.255.255.255 On-link 10.154.159.8 257
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
137.254.4.91 255.255.255.255 192.168.1.1 192.168.1.3 11
169.254.0.0 255.255.0.0 On-link 10.154.159.8 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 306
169.254.255.255 255.255.255.255 On-link 10.154.159.8 257
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.1 255.255.255.255 On-link 192.168.1.3 11
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 10.154.159.8 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 10.154.159.8 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
19 11 ::/0 On-link
1 306 ::1/128 On-link
19 266 fe80::/64 On-link
19 266 fe80::2a78:5341:7450:2bc1/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
19 266 fe80::c12f:601f:cdf:4304/128
On-link
19 266 fe80::c5c3:8e03:b9dd:7df5/128
On-link
1 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
źródło
Odpowiedzi:
Najpierw zrozum, że powodem, dla którego administratorzy twojej sieci nie zezwolili na dzielone tunelowanie, jest to, że potencjalnie pozwala złośliwej osobie / kodowi na obejście środków bezpieczeństwa, które zostały wdrożone poprzez dostęp do sieci za pośrednictwem twojego komputera. Uwierz mi, wiem, że brak dzielonego tunelu jest denerwujący, ale zapytaj siebie, czy warto ryzykować?
Teraz, gdy ostrzeżenia nie są już dostępne, mogę Ci powiedzieć, że Cisco AnyConnect zapobiega podzielonemu tunelowi, tymczasowo ponownie zapisując tabelę routingu na komputerze-hoście. Użyj
route print
przed uruchomieniem AnyConnect i użyj go ponownie później, aby zobaczyć różnice. Możesz napisać skrypt, aby dostosować tabelę routingu i uruchomić go po uruchomieniu AnyConnect. Łatwiejszym rozwiązaniem, które prawdopodobnie nie narusza zasad użytkowania sieci, jest po prostu użycie maszyny wirtualnej z AnyConnect. Karta sieciowa twojego gospodarza nie zostaje zablokowana i nie łamiesz żadnych zasad ... najlepiej z obu światów.źródło
Nie wymyśliłem, jak podzielić tunel za pomocą Cisco AnyConnect. Oto moja praca.
Próbowałem użyć VPNC Front End, ale ogólny komunikat o błędzie uniemożliwił mi poprawienie ustawień połączenia. Musiałem dodać „Wersja aplikacji Cisco Systems VPN Client 4.8.01 (0640): Linux” do default.conf. Ponadto po ustanowieniu połączenia nie mogłem uzyskać dostępu do niczego w zdalnej sieci LAN. Musiałem utworzyć plik wsadowy, który dodał trasy dla zdalnych adresów IP LAN (np
route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180
.). Ten sam plik wsadowy musiał również skonfigurować, aby najpierw używać serwerów DNS zdalnej sieci LAN przed serwerami DNS mojego usługodawcy internetowego (np.netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1
)Aby uzyskać bardziej szczegółowy komunikat o błędzie, postępowałem zgodnie z instrukcjami na BMC . Musiałem zainstalować dodatkowe pakiety: Net openssl, Devel Libs openssl-devel i Interpreters perl.
źródło
Chociaż to nie pomoże komuś, kto próbuje obejść zabezpieczenia umieszczone w ASA przez administratora, dla kogoś, kto JEST administratorem ASA, Cisco ma ten artykuł na temat konfigurowania ASA i Anyconnect z dostępem do tunelu podzielonego:
Skonfiguruj AnyConnect Secure Mobility Client z Split Tunneling na ASA
źródło