Jak pozbyć się niektórych reguł narzuconych przez Cisco AnyConnect 3.1.0?

1

Moje pytanie dotyczy tego: Jak wymusić przekierowanie tunelu dzielonego na Macu do Cisco VPN

Mam trochę trudu, aby dowiedzieć się, co robić. Mam problem z tym, że po połączeniu się z VPN Internet staje się znacznie wolniejszy (klient Cisco został skonfigurowany z myślą o split-tunnel). Nie jestem pewien, czy cały mój ruch internetowy trafia na serwer VPN iz powrotem. Ktoś zadał to pytanie: Cisco VPN Client - Zewnętrzny adres URL jest śledzony? nie jest jednak dla mnie jasne, czy firma rejestruje ruch, czy nie. Za każdym razem, gdy uzyskuję dostęp do strony, zmieniają się statystyki dotyczące klienta Cisco. Czy to oznacza, że ​​mój ruch sieciowy dociera do serwera VPN i jest rejestrowany?

Używając Network Utility, netstat wyświetla wiele połączeń nawiązanych przez utun0, który jest interfejsem utworzonym przez klienta VPN.

Zauważyłem również, że klient VPN firmy Cisco dodał do listy różnego rodzaju reguły (widoczne na liście sudo ipfw). Na liście są adresy IP, których nie znam. Interesujące jest to, że nie widzę już adresów IP serwerów, do których mam dostęp.

Chcę, aby moja szybkość Internetu wróciła do stanu, w jakim była, i chcę, aby tylko żądania do wewnętrznych serwerów, do których mam dostęp, trafiały do ​​serwera VPN.

Czy to możliwe? Daj mi znać, jeśli jest więcej informacji, które powinienem dostarczyć.

Dzięki

costa
źródło
Należy sprawdzić tabelę routingu, gdy uruchomiony jest VPN. Jeśli domyślna trasa wskazuje na ip / interfejs przypisany do VPN, cały ruch przechodzi przez VPN. Innym prostym sposobem jest uruchomienie traceroute google.com z i bez VPN. Jeśli Twoja firma skonfigurowała VPN jako bramę domyślną, cały ruch będzie się odbywał za pośrednictwem Twojej firmy i nie możesz wiele zrobić. Jeśli ręcznie dostosujesz trasy, uruchomienie klienta VPN zastąpi je w konfiguracji firmy
Alec Istomin
@AlecIstomin: Uruchamiałem traceroute w obu scenariuszach i ma różne ścieżki. Gdy anyconnect jest włączony, ruch przechodzi przez serwer VPN.
costa
zajrzyj do wirtualizacji, może być łatwiejszym sposobem na uruchomienie VPN w VM i mieć bezpośrednią łączność z Macem
Alec Istomin

Odpowiedzi:

0

Powinno być osiągalne, o ile masz dostęp do lokalnego administratora. Jak wskazano w linkach, podałeś, co zasadniczo musisz zrobić, aby zmienić tabele routingu, tak aby cały ruch do określonych serwerów / sieci odbywał się tylko przez VPN, podczas gdy reszta wychodzi przez standardowy interfejs internetowy.

Aby przetestować, możesz użyć czegoś takiego jak „traceroute”, aby śledzić ścieżkę, którą pakiet może zabrać, gdy trafi do miejsca docelowego.

http://en.wikipedia.org/wiki/Traceroute

Innym sposobem jest użycie sniffera pakietów, takiego jak „Wireshark”, aby zobaczyć, do którego ruchu interfejsu dociera ruch do określonego miejsca docelowego.

Mianowicie, czy przechodzi przez VPN do Internetu i odwrotnie lub czy przechodzi bezpośrednio do Internetu. Domyślam się, że widzimy tutaj, że aplikacja jest źle skonfigurowana?

Przykro mi, ale zajmuję się tą stroną ...

W każdym razie Mac OS X zasadniczo wykorzystuje rdzeń BSD, co oznacza, że ​​jest zależny od narzędzi z tego samego dziedzictwa. Oznacza to również, że jeśli dobrze się zastanowisz, ipfw (firewall) i tabele routingu mogą się oczywiście nakładać (ruch odrzucony / przekierowany z ipfw może automatycznie wymusić ruch na innej trasie niż normalnie).

http://freebsd.org/doc/en/books/handbook/firewalls-ipfw.html

Jak sobie z tym poradzisz?

Poproś administratora, aby ponownie skonfigurował dane urządzenie / klienta / aplikację, aby uzyskać bardziej normalne tabele routingu.

Zatrzymaj Cisco AnyConnect przed zablokowaniem karty sieciowej

Spróbuj znaleźć te problemy, wywołując uprawnienia administratora lokalnego (nie masz sprzętu testowego, więc nie można ich przetestować) i zmieniając odpowiednie zestawy reguł, aby uzyskać bardziej normalne zachowanie podczas routingu.

Profil Cisco AnyConnect jest nadpisywany

Konfigurowanie klienta w maszynie wirtualnej, tak aby reguły routingu były przekazywane do tego konkretnego systemu operacyjnego, a nie do systemu podstawowego.

http://www.vmware.com/au

https://www.virtualbox.org/

dtbnguyen
źródło
Może być źle skonfigurowany. Widzę zdecydowanie inne ślady z cisco anyconnect i bez niego. Mój problem polega na tym, że mam ograniczoną wiedzę na temat tego typu sieci. Jedną z rzeczy, która mnie myli, jest mieszanka ipfw i trasy. Rozumiem, że ipfw jest przestarzały, ale wydaje się, że anyconnect używa tego polecenia do konfigurowania reguł. Następnie masz polecenia trasy. Czy mają wpływ na ustawienia ipfw?
costa
Mac OS X zasadniczo wykorzystuje rdzeń BSD, co oznacza, że ​​jest on od nich zależny freebsd.org/doc/en/books/handbook/firewalls-ipfw.html
dtbnguyen