Cisco VPN блокирует весь интернет-трафик и разделенное туннелирование не разрешено

[ПРИМЕЧАНИЕ: Я ЗАПИСАЛ ЭТОТ ВОПРОС ТАКЖЕ В "SUPERUSER"]

На работе у нас Windows 10 машин. У нас также есть клиент VMWare Workstation VM (Ubuntu), работающий локально. Заказчик обеспечивает подключение наших хост-компьютеров к VPN-серверу. Подключение к VPN-серверу позволяет нам загружать необходимые файлы, подключаться к Интернету и т. Д. Все это внутри виртуальной машины Ubuntu.

Однако VPN-соединение (Cisco AnyConnect) блокирует любой доступ в Интернет с хост-компьютеров (Windows 10): когда мы подключены к VPN: Outlook не работает, Lync не работает, хост-Интернет не работает и т. Д. Конечно:

• Заказчик не предоставляет разделенное туннелирование (и не будет предоставлять его). Если мы попытаемся запустить (например) другую службу VPN, клиентская VPN будет отключена...: вся работа, которую вы выполняли в течение нескольких часов внутри ВМ (загрузка ГБ файлов, компиляция кода с помощью инструментов, доступных только с помощью VPN, пр.) Пропал.

• Доступ к Интернету через виртуальную машину крайне ограничен: мы не можем Google просмотреть команду bash или команду Python или C; Вы не можете получить доступ к StackOverflow... Пытаясь найти решение:

• Я думаю установить VirtualBox (чтобы избежать конфликтов с клиентской средой);

• установить виртуальную машину Windows 10 (да... гость W10 на хосте W10);

• Перенаправить порт USB на этот гостевой компьютер W10;

• Подключите к этому порту USB внешнюю карту WiFi.

С этой конфигурацией, я предполагаю, что VPN клиента не "поймет", что с хост-машины был украден один порт USB. Таким образом, мы сможем получать интернет-трафик на гостевой машине W10, используя внешнюю карту Wi-Fi через порт USB.

Вопросы:

  1. Это возможная конфигурация?

  2. Будет ли эта конфигурация обеспечивать решение, которое мы ищем?

  3. Я не понимаю, как хост-приложения (Outlook, Lync, браузеры) смогут воспользоваться гостевым доступом в Интернет. Есть ли способ использовать гостевую машину W10 в качестве шлюза или прокси для хоста (странно... верно?)?

  4. Наконец, я нашел где-то несколько советов, связанных с тем, чтобы запутать интернет-трафик украденного USB-порта. Но, если он действительно украден и VPN клиента не имеет возможности (?) Узнать, что украденный порт существует, я не считаю это необходимым шагом, если только этот сценарий не может рассматриваться как разделенное туннелирование и, следовательно, Интернет. трафик гостевой W10 уязвим для внешних атак, как это обычно описывается в документах, связанных с разделенным туннелированием.

Заранее спасибо! Любая помощь будет очень ценится!

Источник

3 ответа

Не совсем понятно, чего вы хотите достичь, и прежде чем идти по этому пути, пожалуйста, убедитесь, что вы понимаете политику безопасности вашего работодателя в отношении VPN-подключения к работе (и описываемая вами настройка звучит странно знакомо, в той степени, в которой вы должны рассмотреть ВНУТРЕННИЕ ресурсы, такие как веб-сайты и списки рассылки, которые ищут решение вашей проблемы).

Сказать, что я предполагаю, что у вас есть проблема:

  1. Вы работаете (постоянно или временно) на оборудовании своего работодателя дома или в помещении клиента.
  2. При выполнении вышеизложенного вы подключаетесь с помощью Cisco Anyconnect, который, как вы описали, направляет ВСЕ интернет-трафик к VPN-шлюзам.
  3. На данный момент вы не можете подключить виртуальную машину вашего клиента к его VPN, и вам нужны оба для выполнения вашей работы.

ИМХО, способ сделать это - привлечь вашего менеджера и поработать с ИТ-отделами обеих компаний, чтобы решить эту проблему. Это может (в зависимости от политик безопасности на обоих концах) означать предоставление настраиваемых политик безопасности для вашего ноутбука, предоставление вам ДВУХ систем, одной для подключения к вашему работодателю и другой для подключения к вашему клиенту или наличия ДВУ виртуальных машин под одним хостом - вместо двух физические системы, одна подключена к вашему работодателю по VPN, другая - к вашему клиенту.

Источник

Клиент Cisco AnyConnect является клиентом безопасности так же, как клиент VPN. Он действительно предназначен для обеспечения соблюдения политик безопасности на оборудовании, принадлежащем компании, например, раздельного туннелирования.

Тот факт, что ваш клиент налагает чрезмерно ограничительную политику безопасности на оборудование, которое им не принадлежит и серьезно влияет на вашу работоспособность, на самом деле неприемлемо. Это должно быть решено путем согласования другой политики или подключения к их сети.

Вряд ли вы сможете подключить или использовать вторичное подключение к Интернету для доступа в Интернет. Как уже говорилось, клиент Cisco - это больше, чем клиент VPN. Он перехватывает ваш сетевой трафик и запросы DNS и принудительно блокирует трафик.

Поскольку клиент применяет строгие политики в системе, вероятно, не существует поддерживаемого метода выполнения того, что вы просите.

Источник

Вы можете создать виртуальную машину Linux на этом компьютере и DNS-сервер Linux где-нибудь еще. Затем вы можете туннелировать свой трафик через DNS. Это не идеально, но это будет работать.

Источник
Другие вопросы по тегам