Split Tunnel i Cisco AnyConnect

15

Używam Cisco AnyConnect Secure Mobility Client 3.1.02026 na Windows 7 64-bit. Słyszałem, że jest pole wyboru, które umożliwia dzielone tunelowanie. Jednak to pole wyboru zostało usunięte z GUI prawdopodobnie ze względu na ustawienia administratora. Administrator nie chce dokonywać żadnych zmian konfiguracji. Chciałbym wymusić dzielone tunelowanie. W jaki sposób? Nie ma problemu, jeśli rozwiązanie korzysta z innego klienta VPN. Rozwiązanie nie może wprowadzać żadnych zmian na serwerze VPN. Wypróbowałem maszynę wirtualną i działa, ale chciałbym wygodniejszego rozwiązania. Próbowałem zadzierać z tablicą tras, ale prawdopodobnie nie udało mi się to z powodu braku wiedzy, jak to zrobić poprawnie.

Oto moje route printprzed połączeniem z VPN.

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Oto moje route printpo połączeniu z VPN.

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
Nathan
źródło

Odpowiedzi:

7

Najpierw zrozum, że powodem, dla którego administratorzy twojej sieci nie zezwolili na dzielone tunelowanie, jest to, że potencjalnie pozwala złośliwej osobie / kodowi na obejście środków bezpieczeństwa, które zostały wdrożone poprzez dostęp do sieci za pośrednictwem twojego komputera. Uwierz mi, wiem, że brak dzielonego tunelu jest denerwujący, ale zapytaj siebie, czy warto ryzykować?

Teraz, gdy ostrzeżenia nie są już dostępne, mogę Ci powiedzieć, że Cisco AnyConnect zapobiega podzielonemu tunelowi, tymczasowo ponownie zapisując tabelę routingu na komputerze-hoście. Użyj route printprzed uruchomieniem AnyConnect i użyj go ponownie później, aby zobaczyć różnice. Możesz napisać skrypt, aby dostosować tabelę routingu i uruchomić go po uruchomieniu AnyConnect. Łatwiejszym rozwiązaniem, które prawdopodobnie nie narusza zasad użytkowania sieci, jest po prostu użycie maszyny wirtualnej z AnyConnect. Karta sieciowa twojego gospodarza nie zostaje zablokowana i nie łamiesz żadnych zasad ... najlepiej z obu światów.

ubiquibacon
źródło
4
Cisco AnyConnect uniemożliwia dostosowanie tras w systemie Windows.
Nathan
0

Nie wymyśliłem, jak podzielić tunel za pomocą Cisco AnyConnect. Oto moja praca.

Próbowałem użyć VPNC Front End, ale ogólny komunikat o błędzie uniemożliwił mi poprawienie ustawień połączenia. Musiałem dodać „Wersja aplikacji Cisco Systems VPN Client 4.8.01 (0640): Linux” do default.conf. Ponadto po ustanowieniu połączenia nie mogłem uzyskać dostępu do niczego w zdalnej sieci LAN. Musiałem utworzyć plik wsadowy, który dodał trasy dla zdalnych adresów IP LAN (np route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180.). Ten sam plik wsadowy musiał również skonfigurować, aby najpierw używać serwerów DNS zdalnej sieci LAN przed serwerami DNS mojego usługodawcy internetowego (np. netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)

Aby uzyskać bardziej szczegółowy komunikat o błędzie, postępowałem zgodnie z instrukcjami na BMC . Musiałem zainstalować dodatkowe pakiety: Net openssl, Devel Libs openssl-devel i Interpreters perl.

Nathan
źródło