ไคลเอนต์ Cisco AnyConnect SSL VPN อนุญาตการเข้าถึง LAN ในตัวเครื่อง แต่ไม่สามารถใช้กับเซิร์ฟเวอร์หลาย homed เพิ่มเติมได้


17

เรามีเครื่องสำหรับเชื่อมต่อผ่าน Cisco SSL VPN ( \\speeder)

ฉันสามารถ ping พวกเราspeederบน10.0.0.3:

ป้อนคำอธิบายรูปภาพที่นี่

ตารางเส้นทางบน\\speederแสดงที่อยู่ IP หลายที่เราได้กำหนด:

ป้อนคำอธิบายรูปภาพที่นี่

หลังจากเชื่อมต่อกับไคลเอนต์ Cisco AnyConnect VPN แล้ว:

ป้อนคำอธิบายรูปภาพที่นี่

เราไม่สามารถ ping ได้อีก\\speeder:

ป้อนคำอธิบายรูปภาพที่นี่

และในขณะที่มีรายการเส้นทางใหม่สำหรับอะแดปเตอร์ Cisco VPN จะไม่มีการแก้ไขรายการเส้นทางที่มีอยู่หลังจากการเชื่อมต่อ:

ป้อนคำอธิบายรูปภาพที่นี่

คาดว่าเราจะไม่สามารถ ping ที่อยู่ IP ของ Speeder บนอะแดปเตอร์ Cisco VPN (192.168.199.20) เนื่องจากอยู่ในเครือข่ายย่อยที่แตกต่างจากเครือข่ายของเรา (เราคือ 10.0.xx 255.255.0.0) เช่น:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

ปัญหาที่เราประสบคือเราไม่สามารถ ping ที่อยู่ IP ที่มีอยู่ใน\\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

ฯลฯ

สิ่งที่น่าสนใจและอาจให้เบาะแสคือมีที่อยู่หนึ่งที่เราสามารถสื่อสารกับ:

ป้อนคำอธิบายรูปภาพที่นี่

ที่อยู่นี้เราสามารถ ping และสื่อสารกับ:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

สิ่งที่ทำให้นี้หนึ่งพิเศษที่อยู่ IP? ที่อยู่ IP นี้มีประโยชน์ในการเป็นที่อยู่ "หลัก":

ป้อนคำอธิบายรูปภาพที่นี่

ซึ่งตรงข้ามกับที่อยู่ที่เราใช้ซึ่งเป็นที่อยู่ "เพิ่มเติม":

ป้อนคำอธิบายรูปภาพที่นี่

โดยรวมแล้วเมื่อไคลเอนต์ Cisco AnyConnect VPN เชื่อมต่อจะบล็อกเราจากที่อยู่ทั้งหมดที่เชื่อมโยงกับคอมพิวเตอร์

เราต้องการไคลเอนต์ Cisco เพื่อหยุดการทำเช่นนั้น

ไม่มีใครรู้วิธีทำให้ Cisco AnyConnect SSL VPN ไคลเอ็นต์หยุดทำอย่างนั้นหรือ

หมายเหตุ : Firepass SSL VPNจาก F5 Networks ไม่ประสบปัญหาเดียวกัน

เราได้ติดต่อกับ Cisco แล้วและพวกเขาบอกว่าไม่รองรับการกำหนดค่านี้

คำตอบ:


1

ฉันรายงาน Cisco Bug ID CSCts12090 (จำเป็นต้องใช้ CCO) ต่อ Cisco เมื่อไม่กี่สัปดาห์ที่ผ่านมา ฉันเพิ่งเริ่มใช้ AnyConnect ประมาณ 6 เดือนที่ผ่านมาและใช้รุ่น 3.0 ขึ้นไปเท่านั้น ดูเหมือนว่าคุณกำลังใช้เวอร์ชันก่อนหน้า 3.0

อย่างไรก็ตามข้อผิดพลาดที่ฉันรายงานนั้นคล้ายกันมาก (แต่แย่กว่านั้น) AnyConnect ไม่สามารถเชื่อมต่อได้สำเร็จเมื่อ IP หลาย ๆ ตัวถูกกำหนดให้กับ NIC ท้องถิ่นในบางกรณี ดูรายงานข้อผิดพลาดแบบเต็มที่ลิงก์ไว้ก่อนหน้านี้สำหรับรายละเอียดที่สมบูรณ์ มันเป็นข้อผิดพลาดที่ยืนยันแล้วและจะได้รับการแก้ไขใน AC 3.1 AC 3.1 สัญญาตามที่ฉันได้รับการบอกกล่าวว่าการเขียนโค้ดอัปเดตตารางการจัดเส้นทางในพื้นที่นั้นมีขนาดใหญ่มากซึ่งจะแก้ไขปัญหานี้ได้

ในขณะที่ปัญหาที่คุณพบไม่เหมือนกับปัญหาที่ฉันรายงานใน CSCts12090 แต่ก็คล้ายกันอย่างน่าขนลุก


... คล้ายกันอย่างผิดพลาด และอาจจะได้รับการแก้ไขด้วยการเขียนใหม่
เอียนบอยด์

1

อะแดปเตอร์ VPN ของ Cisco นั้นพิเศษในโหมด "ค่าเริ่มต้น" มันถูกออกแบบมาเพื่อส่งข้อมูลเครือข่ายทุกบิตผ่านลิงก์อุโมงค์ ฉันทำมิเรอร์การตั้งค่าเพื่อทดสอบและอุโมงค์ปกติจริง ๆ แล้วจะไม่ให้ฉัน ping ที่อยู่หลักของอินเทอร์เฟซภายในเครื่อง

อย่างไรก็ตามด้วยอุโมงค์แยกที่อะแดปเตอร์ VPN จัดการปริมาณการใช้งานสำหรับเครือข่ายที่ระบุเท่านั้นดูเหมือนว่าจะทำงานได้ดีสำหรับที่อยู่รอง

หากเป็นไปได้ให้เปลี่ยนการกำหนดค่าการเชื่อมต่อเป็นอุโมงค์แยก ถ้าปลายทางของคุณเป็น ASA มันจะsplit-tunnel-policyและคำสั่งในที่เกี่ยวข้องsplit-tunnel-network-listgroup-policy


1
นั่นคือคำศัพท์ "อุโมงค์แยก" ของสิ่งที่เปิดใช้งานบนเซิร์ฟเวอร์ และมันก็ไม่เปลี่ยน (" โทเค็น RSA สำหรับโปรไฟล์ SSL_Vendor ตอนนี้ได้เปิดใช้งานการแยกการเจาะอุโมงค์ในตอนนี้ควรอนุญาตให้ผู้ขายเข้าถึง LAN ท้องถิ่นของพวกเขาเมื่อเชื่อมต่อ ") มันอนุญาตให้ LAN ท้องถิ่นเข้าถึงเครื่องไคลเอนต์ vpn บน "หลัก" IP เราทำไม่ได้) - แต่มันไม่อนุญาตการเชื่อมต่อกับเครื่องไคลเอนต์ vpn ผ่านที่อยู่ IP อื่น ๆ
Ian Boyd
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.