Доступ к локальной сети с помощью Cisco AnyConnect Secure Mobility Client v. 3.0.4235
Всякий раз, когда я подключаюсь к серверу VPN с помощью клиента Cisco AnyConnect Secure Mobility v. 3.0.4235 (возможно, также с другими версиями), я теряю доступ к своей локальной сети. Я надеюсь исправить это, вручную добавив некоторые маршруты, которые AnyConnect удаляет.
Ниже мои настройки, маршруты до и после подключения. У меня есть машина с двумя физическими сетевыми картами:
NIC1 Шлюз в интернет
Address 10.191.244.10
Mask 255.255.255.0
Gateway: 10.191.244.1
NIC2
Address 172.16.97.1
Mask 255.255.0.0
Gateway: N/A
Устройство подключено к NIC2
Address 192.16.97.2
Mask 255.255.0.0
Gateway: N/A
РЕДАКТИРОВАТЬ: Обратите внимание, что VPN-соединение и LAN-соединение не находятся на одном физическом NIC/ канале, и два NIC не подключаются к одной и той же сети (один подключается к 10.191.244.0/24, а другой к 172.16.97.0/20).
Маршруты и таблица ARP перед подключением к VPN
===========================================================================
Interface List
15...52 54 00 c3 42 45 ......Red Hat VirtIO Ethernet Adapter #2
14...52 54 00 f4 a4 80 ......Red Hat VirtIO Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
10.191.244.0 255.255.255.0 On-link 10.191.244.11 261
10.191.244.11 255.255.255.255 On-link 10.191.244.11 261
10.191.244.255 255.255.255.255 On-link 10.191.244.11 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 On-link 172.16.97.1 261
172.16.97.1 255.255.255.255 On-link 172.16.97.1 261
172.16.255.255 255.255.255.255 On-link 172.16.97.1 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.191.244.11 261
224.0.0.0 240.0.0.0 On-link 172.16.97.1 261
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.191.244.11 261
255.255.255.255 255.255.255.255 On-link 172.16.97.1 261
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.191.244.1 Default
===========================================================================
## ARP ##
Interface: 10.191.244.11 --- 0xe
Internet Address Physical Address Type
10.191.244.1 c4-05-28-c9-fd-63 dynamic
10.191.244.20 00-c0-3d-00-53-0d dynamic
10.191.244.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Interface: 172.16.97.1 --- 0xf
Internet Address Physical Address Type
172.16.97.2 00-80-2f-17-26-06 dynamic
172.16.97.3 00-80-2f-17-6a-44 dynamic
172.16.255.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Маршруты и ARP после подключения к VPN
===========================================================================
Interface List
16...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
15...52 54 00 c3 42 45 ......Red Hat VirtIO Ethernet Adapter #2
14...52 54 00 f4 a4 80 ......Red Hat VirtIO Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
0.0.0.0 0.0.0.0 192.168.220.1 192.168.221.131 2
10.191.244.11 255.255.255.255 On-link 10.191.244.11 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.97.1 255.255.255.255 On-link 172.16.97.1 261
192.168.220.0 255.255.254.0 On-link 192.168.221.131 257
192.168.221.131 255.255.255.255 On-link 192.168.221.131 257
192.168.221.255 255.255.255.255 On-link 192.168.221.131 257
193.28.147.7 255.255.255.255 10.191.244.1 10.191.244.11 6
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.191.244.11 261
224.0.0.0 240.0.0.0 On-link 172.16.97.1 261
224.0.0.0 240.0.0.0 On-link 192.168.221.131 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.191.244.11 261
255.255.255.255 255.255.255.255 On-link 172.16.97.1 261
255.255.255.255 255.255.255.255 On-link 192.168.221.131 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.191.244.1 Default
0.0.0.0 0.0.0.0 192.168.220.1 1
===========================================================================
## ARP ##
Interface: 10.191.244.11 --- 0xe
Internet Address Physical Address Type
10.191.244.1 c4-05-28-c9-fd-63 dynamic
10.191.244.20 00-c0-3d-00-53-0d dynamic
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Interface: 172.16.97.1 --- 0xf
Internet Address Physical Address Type
172.16.97.2 00-80-2f-17-26-06 dynamic
172.16.97.3 00-80-2f-17-6a-44 dynamic
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Interface: 192.168.221.131 --- 0x10
Internet Address Physical Address Type
192.168.220.1 00-11-22-33-44-55 dynamic
192.168.221.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Различия в маршрутах до и после показывают, что AnyConnect удалил маршрут к сети 172.16.0.0.
Я пытаюсь добавить его обратно с
route ADD 172.16.0.0 MASK 255.255.0.0 172.16.97.1
Утилита маршрута возвращает / печатает "ОК!", Но впоследствии маршрут никогда не отображается в таблице маршрутизации. Я запускаю утилиту маршрута с повышенными привилегиями. Может AnyConnect заблокировать мое добавление новых маршрутов?
Есть ли способ обойти эту проблему на моем (клиентском) конце? Конфигурация VPN-сервера не так легко изменить.
3 ответа
Я нашел решение своей проблемы. Я просто использовал OpenConnect вместо собственного клиента Cisco.
OpenConnect ( http://www.infradead.org/openconnect/) - это клиент с открытым исходным кодом для Cisco AnyConnect SSL VPN, построенный на основе GnuTLS и OpenSSL. Он работает на BSD, Linux, Mac и Windows.
Для меня это решило проблему как в Linux (Ubuntu 14, используя пакет network-manager-openconnect), так и в Windows (Win7 64bit, используя http://www.infradead.org/openconnect/gui.html / https://github.com/openconnect/openconnect-gui/wiki).
Ниже приведены маршруты до и после VPN-соединения с OpenConnect. Сравните это с делом AnyConnect, в котором были удалены маршруты 172.16.0.0.
Теперь я получаю доступ к ресурсам VPN и моей локальной сети (в частности, к моей сети подключено устройство выборки 172.16.97.2).
Маршруты до подключения OpenConnect:
===========================================================================
Interface List
20...00 ff 08 2c e8 75 ......TAP-Windows Adapter V9
15...52 54 00 c3 42 45 ......Red Hat VirtIO Ethernet Adapter #2
14...52 54 00 f4 a4 80 ......Red Hat VirtIO Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
10.191.244.0 255.255.255.0 On-link 10.191.244.11 261
10.191.244.11 255.255.255.255 On-link 10.191.244.11 261
10.191.244.255 255.255.255.255 On-link 10.191.244.11 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 On-link 172.16.97.1 261
172.16.97.1 255.255.255.255 On-link 172.16.97.1 261
172.16.255.255 255.255.255.255 On-link 172.16.97.1 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.191.244.11 261
224.0.0.0 240.0.0.0 On-link 172.16.97.1 261
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.191.244.11 261
255.255.255.255 255.255.255.255 On-link 172.16.97.1 261
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.220.1 1
0.0.0.0 0.0.0.0 10.191.244.1 Default
===========================================================================
Маршруты после соединения openconnect:
===========================================================================
Interface List
20...00 ff 08 2c e8 75 ......TAP-Windows Adapter V9
15...52 54 00 c3 42 45 ......Red Hat VirtIO Ethernet Adapter #2
14...52 54 00 f4 a4 80 ......Red Hat VirtIO Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
0.0.0.0 0.0.0.0 192.168.220.1 192.168.221.140 2
10.191.244.0 255.255.255.0 On-link 10.191.244.11 261
10.191.244.11 255.255.255.255 On-link 10.191.244.11 261
10.191.244.255 255.255.255.255 On-link 10.191.244.11 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 On-link 172.16.97.1 261
172.16.97.1 255.255.255.255 On-link 172.16.97.1 261
172.16.255.255 255.255.255.255 On-link 172.16.97.1 261
192.168.220.0 255.255.254.0 On-link 192.168.221.140 257
192.168.221.140 255.255.255.255 On-link 192.168.221.140 257
192.168.221.255 255.255.255.255 On-link 192.168.221.140 257
193.28.147.7 255.255.255.255 10.191.244.1 10.191.244.11 6
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.191.244.11 261
224.0.0.0 240.0.0.0 On-link 172.16.97.1 261
224.0.0.0 240.0.0.0 On-link 192.168.221.140 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.191.244.11 261
255.255.255.255 255.255.255.255 On-link 172.16.97.1 261
255.255.255.255 255.255.255.255 On-link 192.168.221.140 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.191.244.1 Default
0.0.0.0 0.0.0.0 192.168.220.1 1
===========================================================================
Ваш администратор VPN может включить / отключить разделенное туннелирование со стороны концентратора VPN. Даже если вы не работаете со шлюзами на своем локальном компьютере, будучи подключенными к VPN, я считаю, что клиент Cisco делает все, что предписывает ему политика, с конечной точки в вашем офисе.
Спросите об этом администратора VPN... Я уверен, что он / она с радостью расскажет вам, почему так настроено.:)
Это, вероятно, вопрос о VPN-доступе, который задают больше всего.
В двух словах, Split Tunneling, кажется, не включен в вашей конфигурации VPN.
Поэтому при подключении к VPN вы получаете два шлюза по умолчанию.
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
0.0.0.0 0.0.0.0 192.168.220.1 192.168.221.131 2
При настройке VPN-доступа без Split Tunneling вы в основном просите VPN-клиента направлять ВСЕ трафик через конечную точку VPN.
Вот почему вы "теряете" доступ к своей локальной сети.