Split Tunnel และ Cisco AnyConnect

15

ฉันใช้ Cisco AnyConnect Secure Mobility Client 3.1.02026 บน Windows 7 64 บิต ฉันเคยได้ยินว่ามีช่องทำเครื่องหมายซึ่งช่วยให้แยกอุโมงค์ อย่างไรก็ตามช่องทำเครื่องหมายนี้จะถูกลบออกจาก GUI อาจเนื่องมาจากการตั้งค่าของผู้ดูแลระบบ ผู้ดูแลระบบไม่ต้องการเปลี่ยนแปลงการกำหนดค่าใด ๆ ฉันต้องการบังคับให้อุโมงค์แยก อย่างไร? ไม่เป็นไรหากโซลูชันใช้ไคลเอนต์ VPN อื่น โซลูชันไม่สามารถทำการเปลี่ยนแปลงใด ๆ บนเซิร์ฟเวอร์ VPN ฉันลองใช้เครื่องเสมือนจริงแล้วใช้งานได้ แต่ฉันต้องการทางออกที่สะดวกกว่า ฉันได้ลองทำไปตามตารางเส้นทาง แต่ฉันล้มเหลวอาจเป็นเพราะขาดการรู้วิธีที่ถูกต้อง

นี่คือฉันroute printก่อนที่จะเชื่อมต่อกับ VPN

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

นี่คือของฉันroute printหลังจากเชื่อมต่อกับ VPN

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
vpn  cisco-anyconnect  split-tunnel 
นาธาน
แหล่งที่มา
เกี่ยวข้อง: superuser.com/questions/284709/…
Vadzim

คำตอบ:

7

ก่อนอื่นให้เข้าใจว่าสาเหตุที่ผู้ดูแลระบบเครือข่ายของคุณไม่อนุญาตให้ใช้งานช่องสัญญาณแยกเป็นเพราะอาจทำให้บุคคล / รหัสที่เป็นอันตรายสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่นำไปใช้โดยเข้าถึงเครือข่ายผ่านคอมพิวเตอร์ของคุณ เชื่อฉันฉันรู้ว่าการไม่มีอุโมงค์แยกเป็นเรื่องน่ารำคาญ แต่ถามตัวคุณเองว่ามันคุ้มค่ากับความเสี่ยงหรือไม่?

ตอนนี้คำเตือนนั้นหมดไปแล้วฉันสามารถบอกคุณได้ว่า Cisco AnyConnect ป้องกันไม่ให้อุโมงค์แยกโดยเขียนตารางเส้นทางของคอมพิวเตอร์แม่ข่ายอีกครั้งชั่วคราว ใช้route printก่อนที่คุณจะเริ่ม AnyConnect และใช้อีกครั้งหลังจากนั้นเพื่อดูความแตกต่าง คุณสามารถเขียนสคริปต์เพื่อปรับตารางเส้นทางและเรียกใช้หลังจากคุณเริ่ม AnyConnect ทางออกที่ง่ายกว่าที่อาจไม่ละเมิดนโยบายการใช้เครือข่ายของคุณคือการใช้ VM กับ AnyConnect NIC ของโฮสต์ของคุณจะไม่ถูกล็อคและคุณจะไม่ละเมิดกฎใด ๆ ... ดีที่สุดของทั้งสองโลก

ubiquibacon
แหล่งที่มา
4
Cisco AnyConnect ป้องกันการปรับเส้นทางใน Windows จากการทำงาน
นาธาน
0

ฉันไม่ได้หาวิธีแยกอุโมงค์ด้วย Cisco AnyConnect นี่คืองานของฉัน

ฉันพยายามใช้ VPNC Front End แต่ข้อความแสดงข้อผิดพลาดทั่วไปทำให้ฉันไม่สามารถแก้ไขการตั้งค่าการเชื่อมต่อได้ ฉันต้องการเพิ่ม "เวอร์ชันแอปพลิเคชันของ Cisco Systems VPN Client 4.8.01 (0640): Linux" ลงใน default.conf นอกจากนี้เมื่อการเชื่อมต่อถูกสร้างขึ้นฉันไม่สามารถเข้าถึงสิ่งใดก็ได้ใน LAN ระยะไกล ฉันต้องการสร้างไฟล์แบตช์ซึ่งเพิ่มเส้นทางสำหรับที่อยู่ IP ของ LAN ระยะไกล (เช่นroute add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180) ไฟล์แบตช์เดียวกันต้องกำหนดค่าให้ใช้เซิร์ฟเวอร์ DNS ของ LAN ระยะไกลก่อนหน้าเซิร์ฟเวอร์ DNS ของ ISP ของฉัน (เช่นnetsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)

ที่จะได้รับข้อผิดพลาดรายละเอียดเพิ่มเติมได้ที่ผมทำตามคำแนะนำบนบีเอ็มซี ฉันต้องติดตั้งแพ็คเกจเพิ่มเติม: Net openssl, Devel Libs openssl-devel และ Interpreters perl

นาธาน
แหล่งที่มา
0

แม้ว่าสิ่งนี้จะไม่ช่วยให้ใครบางคนที่พยายามจะรักษาความปลอดภัยของ ASA โดยผู้ดูแลระบบ แต่สำหรับคนที่เป็นผู้ดูแลระบบ ASA นั้น Cisco มีบทความนี้ในการตั้งค่า ASA และ Anyconnect ด้วยการเข้าถึงช่องสัญญาณแยก:

กำหนดค่า AnyConnect Secure Mobility Client ด้วย Split Tunneling บน ASA

MarkL
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.