Máy khách SSL AnyConnect SSL cho phép truy cập mạng LAN cục bộ, nhưng không phải trên máy chủ đa homed bổ sung


17

Chúng tôi có một máy để kết nối thông qua Cisco SSL VPN ( \\speeder).

tôi có thể ping chúng tôi speedertrên 10.0.0.3:

nhập mô tả hình ảnh ở đây

Bảng định tuyến trên \\speederhiển thị nhiều địa chỉ IP mà chúng tôi đã gán cho nó:

nhập mô tả hình ảnh ở đây

Sau khi kết nối với máy khách Cisco AnyConnect VPN:

nhập mô tả hình ảnh ở đây

chúng tôi không thể ping nữa \\speeder:

nhập mô tả hình ảnh ở đây

Và trong khi có các mục định tuyến mới cho bộ điều hợp VPN của Cisco, không có mục định tuyến hiện tại nào được sửa đổi sau khi kết nối:

nhập mô tả hình ảnh ở đây

Chúng tôi dự kiến ​​rằng chúng tôi không thể ping địa chỉ IP của Speeder trên bộ điều hợp VPN của Cisco (192.168.199.20) vì nó nằm trên một mạng con khác với mạng của chúng tôi (chúng tôi là 10.0.xx 255.255.0.0), tức là:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Vấn đề chúng tôi gặp phải là sau đó chúng tôi không thể ping địa chỉ IP hiện có trên \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

Vân vân

Điều thú vị và có thể cung cấp một manh mối, đó là có một địa chỉ chúng ta có thể liên lạc:

nhập mô tả hình ảnh ở đây

Địa chỉ này chúng ta có thể ping và liên lạc với:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Điều gì làm cho một địa chỉ IP này đặc biệt? Một địa chỉ IP này có ưu điểm là một địa chỉ chính của YouTube:

nhập mô tả hình ảnh ở đây

Trái ngược với các địa chỉ mà chúng tôi sử dụng, đó là các địa chỉ bổ sung của:

nhập mô tả hình ảnh ở đây

Tóm lại, khi máy khách Cisco AnyConnect VPN kết nối, nó sẽ chặn chúng tôi khỏi địa chỉ tất cả nhưng được liên kết với máy tính.

Chúng tôi cần Khách hàng của Cisco ngừng làm việc đó.

Có ai biết cách làm cho máy khách Cisco AnyConnect SSL VPN ngừng làm điều đó không?

Lưu ý : Firepass SSL VPN từ F5 Networks không gặp phải vấn đề tương tự.

Chúng tôi đã liên hệ với Cisco và họ nói rằng cấu hình này không được hỗ trợ.

Câu trả lời:


1

Tôi đã báo cáo Cisco Bug ID CSCts12090 (yêu cầu CCO) cho Cisco vài tuần trước. Tôi mới bắt đầu sử dụng AnyConnect khoảng 6 tháng trước và chỉ mới sử dụng phiên bản 3.0 trở lên. Có vẻ như bạn đang sử dụng một phiên bản sớm hơn 3.0.

Dù sao, lỗi tôi báo cáo là rất giống nhau (nhưng tồi tệ hơn). AnyConnect không thể kết nối thành công khi nhiều IP được gán cho NIC cục bộ trong một số trường hợp nhất định. Xem báo cáo lỗi đầy đủ được liên kết trước đó để biết chi tiết đầy đủ. Đó là một lỗi đã được xác nhận và sẽ được sửa trong AC 3.1. AC 3.1 hứa hẹn, như tôi đã nói, là một bản viết lại khá lớn của mã cập nhật bảng định tuyến cục bộ sẽ sửa lỗi này và một loạt các quirks khác với AC.

Mặc dù vấn đề bạn đang gặp phải không chính xác như sự cố mà tôi đã báo cáo trong CSCts12090, nó cũng tương tự.


... tương tự một cách sai lầm; và có lẽ có thể được sửa chữa với việc viết lại.
Ian Boyd

1

Bộ điều hợp VPN của Cisco đặc biệt, ở chế độ "mặc định", nó được thiết kế để gửi từng bit lưu lượng mạng cuối cùng qua liên kết của đường hầm. Tôi đã nhân đôi cấu hình đó để kiểm tra và một đường hầm bình thường thậm chí sẽ không cho phép tôi ping địa chỉ chính của giao diện cục bộ.

Tuy nhiên, với một đường hầm phân chia, nơi bộ điều hợp VPN xử lý lưu lượng chỉ cho các mạng được chỉ định, có vẻ như nó hoạt động rất tốt cho các địa chỉ phụ.

Nếu bạn có thể, hãy thay đổi cấu hình của kết nối thành một đường hầm phân chia; nếu điểm cuối của bạn là ASA, nó sẽ split-tunnel-policysplit-tunnel-network-listcác lệnh có liên quan group-policy.


1
Đó là thuật ngữ, "đường hầm phân chia", về những gì đã được kích hoạt trên máy chủ; và nó đã không thay đổi. (" Mã thông báo RSA cho cấu hình SSL_Vendor hiện đã bật tính năng chia đường hầm. Điều này sẽ cho phép các nhà cung cấp truy cập mạng LAN cục bộ của họ khi được kết nối ") Nó đã cho phép LAN cục bộ truy cập vào máy khách vpn trên IP "chính" chúng tôi không thể) - nhưng nó không cho phép kết nối với máy khách vpn thông qua các địa chỉ IP khác.
Ian Boyd
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.