Split Tunnel dan Cisco AnyConnect

14

Saya menggunakan Cisco AnyConnect Secure Mobility Client 3.1.02026 pada Windows 7 64-bit. Saya pernah mendengar ada kotak centang yang memungkinkan tunneling split. Namun, kotak centang ini dihapus dari GUI mungkin karena pengaturan administrator. Administrator tidak ingin membuat perubahan konfigurasi. Saya ingin memaksa split tunneling. Bagaimana? Tidak apa-apa jika solusinya menggunakan klien VPN yang berbeda. Solusinya tidak dapat membuat perubahan apa pun di server VPN. Saya telah mencoba mesin virtual dan berhasil, tetapi saya ingin solusi yang lebih nyaman. Saya sudah mencoba main-main dengan tabel rute tetapi saya gagal mungkin karena kurang tahu bagaimana melakukannya dengan benar.

Ini saya route printsebelum menghubungkan ke VPN.

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Ini adalah milik saya route printsetelah terhubung ke VPN.

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
Nathan
sumber

Jawaban:

7

Pertama-tama pahami bahwa alasan admin jaringan Anda telah melarang tunneling split karena berpotensi memperbolehkan orang / kode jahat untuk menghindari langkah-langkah keamanan yang telah diterapkan dengan mengakses jaringan melalui komputer Anda. Percayalah, saya tahu tidak memiliki terowongan terpisah itu menyebalkan, tetapi tanyakan pada diri Anda apakah itu sepadan dengan risikonya?

Sekarang peringatan sudah tidak bisa saya katakan kepada Anda bahwa Cisco AnyConnect mencegah split tunnel dengan menulis ulang sementara tabel routing komputer host. Gunakan route printsebelum Anda memulai AnyConnect dan gunakan lagi setelah itu untuk melihat perbedaannya. Anda dapat menulis skrip untuk menyesuaikan tabel perutean dan menjalankannya setelah Anda memulai AnyConnect. Solusi yang lebih mudah yang mungkin tidak melanggar kebijakan penggunaan jaringan Anda adalah dengan menggunakan VM dengan AnyConnect. NIC host Anda tidak dikunci dan Anda tidak melanggar aturan apa pun ... terbaik dari kedua dunia.

ubiquibacon
sumber
4
Cisco AnyConnect mencegah penyesuaian rute pada Windows agar tidak berfungsi.
Nathan
0

Saya belum menemukan cara untuk membagi terowongan dengan Cisco AnyConnect. Inilah pekerjaan saya.

Saya mencoba menggunakan VPNC Front End tetapi pesan kesalahan umum mencegah saya memperbaiki pengaturan koneksi. Saya perlu menambahkan "Versi aplikasi Cisco Systems VPN Client 4.8.01 (0640): Linux" ke default.conf. Juga, setelah koneksi dibuat, saya tidak dapat mengakses apa pun di LAN jarak jauh. Saya perlu membuat file batch yang menambahkan rute untuk alamat IP LAN jarak jauh (misalnya route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180). File batch yang sama juga harus dikonfigurasikan untuk menggunakan server DNS LAN jarak jauh terlebih dahulu sebelum server DNS ISP saya (mis. netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)

Untuk mendapatkan pesan kesalahan yang lebih rinci, saya mengikuti instruksi di BMC . Saya harus menginstal paket tambahan: Net openssl, Devel Libs openssl-devel dan Interpreters perl.

Nathan
sumber