Cisco AnyConnect SSL VPN client memungkinkan akses LAN lokal, tetapi tidak pada server multi-homed tambahan

17

Kami memiliki mesin untuk terhubung melalui Cisco SSL VPN ( \\speeder).

saya dapat melakukan ping speederpada 10.0.0.3:

masukkan deskripsi gambar di sini

Routing table pada \\speederacara tersebut beberapa alamat IP kita telah ditugaskan untuk itu:

masukkan deskripsi gambar di sini

Setelah terhubung dengan klien VPN Cisco AnyConnect:

masukkan deskripsi gambar di sini

kita tidak bisa lagi ping \\speeder:

masukkan deskripsi gambar di sini

Dan sementara ada entri perutean baru untuk adaptor Cisco VPN, tidak ada entri perutean yang ada dimodifikasi setelah koneksi:

masukkan deskripsi gambar di sini

Diharapkan bahwa kami tidak dapat melakukan ping alamat IP Speeder pada adaptor Cisco VPN (192.168.199.20) karena berada pada subnet yang berbeda dari jaringan kami (kami 10.0.xx 255.255.0.0), yaitu:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Masalah yang kami alami adalah kami tidak dapat melakukan ping ke alamat IP yang ada di \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

dll

Yang menarik, dan mungkin memberikan petunjuk, adalah bahwa ada satu alamat yang dapat kami komunikasikan:

masukkan deskripsi gambar di sini

Alamat ini kami dapat melakukan ping dan berkomunikasi dengan:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Apa yang membuat alamat IP yang satu ini istimewa? Satu alamat IP ini memiliki kebajikan menjadi alamat "utama":

masukkan deskripsi gambar di sini

Berbeda dengan alamat yang kami gunakan, yang merupakan alamat "tambahan":

masukkan deskripsi gambar di sini

Singkatnya, ketika klien VPN Cisco AnyConnect terhubung, ia memblokir kami dari semua-tapi-satu alamat yang terkait dengan komputer.

Kami membutuhkan Klien Cisco untuk berhenti melakukan itu.

Adakah yang tahu bagaimana membuat Cisco AnyConnect SSL VPN client berhenti melakukan itu?

Catatan : Firepass SSL VPN dari F5 Networks tidak menderita masalah yang sama.

Kami telah menghubungi Cisco, dan mereka mengatakan bahwa konfigurasi ini tidak didukung.

Ian Boyd
sumber

Jawaban:

1

Saya melaporkan Cisco Bug ID CSCts12090 (diperlukan CCO) ke Cisco beberapa minggu yang lalu. Saya baru mulai menggunakan AnyConnect sekitar 6 bulan yang lalu dan hanya menggunakan versi 3.0 ke atas. Sepertinya Anda menggunakan versi yang lebih awal dari 3.0.

Bagaimanapun, bug yang saya laporkan sangat mirip (tapi lebih buruk). AnyConnect tidak dapat berhasil terhubung ketika beberapa IP ditugaskan untuk NIC lokal dalam kasus-kasus tertentu. Lihat laporan bug lengkap yang ditautkan sebelumnya untuk detail lengkap. Itu adalah bug yang dikonfirmasi dan akan diperbaiki di AC 3.1. AC 3.1 menjanjikan, seperti yang telah saya katakan, untuk menjadi penulisan ulang yang cukup besar dari kode pembaruan tabel routing lokal yang akan memperbaikinya dan membunuh kebiasaan lain dengan AC.

Sementara masalah yang Anda alami tidak persis seperti yang saya laporkan di CSCts12090, ini mirip sekali.

Penenun
sumber
... sangat mirip; dan mungkin bisa diperbaiki dengan menulis ulang.
Ian Boyd
1

Adaptor Cisco VPN khusus, dalam mode "default", itu dirancang untuk mengirim setiap lalu lintas jaringan terakhir melalui tautan terowongan. Saya mencerminkan konfigurasi itu untuk menguji, dan sebuah terowongan normal sebenarnya bahkan tidak membiarkan saya melakukan ping ke alamat utama antarmuka lokal.

Namun, dengan terowongan terpisah, di mana adaptor VPN menangani lalu lintas hanya untuk jaringan tertentu, sepertinya berfungsi dengan baik untuk alamat sekunder.

Jika Anda bisa, ubah konfigurasi koneksi menjadi terowongan terpisah; jika titik akhir Anda adalah ASA, itu akan menjadi split-tunnel-policydan split-tunnel-network-listmemerintahkan yang relevan group-policy.

Shane Madden
sumber
1
Itu adalah terminologi, "split tunnel", dari apa yang diaktifkan di server; dan itu tidak berubah. (" Token RSA untuk profil SSL_Vendor sekarang telah mengaktifkan tunneling split. Ini sekarang harus memungkinkan vendor untuk mengakses LAN lokal mereka ketika terhubung ") Itu memang memungkinkan LAN lokal untuk mengakses mesin klien vpn pada IP "utama" (padahal sebelumnya kami tidak bisa) - tetapi tidak mengizinkan koneksi ke mesin klien vpn melalui alamat IP lainnya.
Ian Boyd