Máy khách SSL AnyConnect SSL cho phép truy cập mạng LAN cục bộ, nhưng không phải trên máy chủ đa homed bổ sung

Chúng tôi có một máy để kết nối thông qua Cisco SSL VPN ( \\speeder).

tôi có thể ping chúng tôi speedertrên 10.0.0.3:

Bảng định tuyến trên \\speederhiển thị nhiều địa chỉ IP mà chúng tôi đã gán cho nó:

Sau khi kết nối với máy khách Cisco AnyConnect VPN:

chúng tôi không thể ping nữa \\speeder:

Và trong khi có các mục định tuyến mới cho bộ điều hợp VPN của Cisco, không có mục định tuyến hiện tại nào được sửa đổi sau khi kết nối:

Chúng tôi dự kiến ​​rằng chúng tôi không thể ping địa chỉ IP của Speeder trên bộ điều hợp VPN của Cisco (192.168.199.20) vì nó nằm trên một mạng con khác với mạng của chúng tôi (chúng tôi là 10.0.xx 255.255.0.0), tức là:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Vấn đề chúng tôi gặp phải là sau đó chúng tôi không thể ping địa chỉ IP hiện có trên \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

Vân vân

Điều thú vị và có thể cung cấp một manh mối, đó là có một địa chỉ chúng ta có thể liên lạc:

Địa chỉ này chúng ta có thể ping và liên lạc với:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Điều gì làm cho một địa chỉ IP này đặc biệt? Một địa chỉ IP này có ưu điểm là một địa chỉ chính của YouTube:

Trái ngược với các địa chỉ mà chúng tôi sử dụng, đó là các địa chỉ bổ sung của:

Tóm lại, khi máy khách Cisco AnyConnect VPN kết nối, nó sẽ chặn chúng tôi khỏi địa chỉ tất cả nhưng được liên kết với máy tính.

Chúng tôi cần Khách hàng của Cisco ngừng làm việc đó.

Có ai biết cách làm cho máy khách Cisco AnyConnect SSL VPN ngừng làm điều đó không?

Lưu ý : Firepass SSL VPN từ F5 Networks không gặp phải vấn đề tương tự.

Chúng tôi đã liên hệ với Cisco và họ nói rằng cấu hình này không được hỗ trợ.

Tôi đã báo cáo Cisco Bug ID CSCts12090 (yêu cầu CCO) cho Cisco vài tuần trước. Tôi mới bắt đầu sử dụng AnyConnect khoảng 6 tháng trước và chỉ mới sử dụng phiên bản 3.0 trở lên. Có vẻ như bạn đang sử dụng một phiên bản sớm hơn 3.0.

Dù sao, lỗi tôi báo cáo là rất giống nhau (nhưng tồi tệ hơn). AnyConnect không thể kết nối thành công khi nhiều IP được gán cho NIC cục bộ trong một số trường hợp nhất định. Xem báo cáo lỗi đầy đủ được liên kết trước đó để biết chi tiết đầy đủ. Đó là một lỗi đã được xác nhận và sẽ được sửa trong AC 3.1. AC 3.1 hứa hẹn, như tôi đã nói, là một bản viết lại khá lớn của mã cập nhật bảng định tuyến cục bộ sẽ sửa lỗi này và một loạt các quirks khác với AC.

Mặc dù vấn đề bạn đang gặp phải không chính xác như sự cố mà tôi đã báo cáo trong CSCts12090, nó cũng tương tự.

Bộ điều hợp VPN của Cisco đặc biệt, ở chế độ "mặc định", nó được thiết kế để gửi từng bit lưu lượng mạng cuối cùng qua liên kết của đường hầm. Tôi đã nhân đôi cấu hình đó để kiểm tra và một đường hầm bình thường thậm chí sẽ không cho phép tôi ping địa chỉ chính của giao diện cục bộ.

Tuy nhiên, với một đường hầm phân chia, nơi bộ điều hợp VPN xử lý lưu lượng chỉ cho các mạng được chỉ định, có vẻ như nó hoạt động rất tốt cho các địa chỉ phụ.

Nếu bạn có thể, hãy thay đổi cấu hình của kết nối thành một đường hầm phân chia; nếu điểm cuối của bạn là ASA, nó sẽ split-tunnel-policyvà split-tunnel-network-listcác lệnh có liên quan group-policy.