Tách đường hầm và Cisco AnyConnect

13

Tôi đang sử dụng Cisco AnyConnect Secure Mobility Client 3.1.02026 trên Windows 7 64-bit. Tôi đã nghe nói có một hộp kiểm cho phép chia đường hầm. Tuy nhiên, hộp kiểm này bị xóa khỏi GUI có thể do cài đặt của quản trị viên. Quản trị viên không muốn thực hiện bất kỳ thay đổi cấu hình. Tôi muốn buộc chia đường hầm. Làm sao? Không sao nếu giải pháp sử dụng máy khách VPN khác. Giải pháp không thể thực hiện bất kỳ thay đổi nào trên máy chủ VPN. Tôi đã thử một máy ảo và nó hoạt động, nhưng tôi muốn một giải pháp thuận tiện hơn. Tôi đã thử lộn xộn với bảng lộ trình nhưng tôi thất bại có lẽ do không biết làm thế nào cho đúng.

Đây là của tôi route printtrước khi kết nối với VPN.

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Đây là của tôi route printsau khi kết nối với VPN.

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

vpn cisco-anyconnect split-tunnel

— Nathan
nguồn

Liên quan: superuser.com/questions/284709/

— Mạnh

6

Trước tiên hãy hiểu rằng lý do quản trị viên mạng của bạn không cho phép chia đường hầm là vì nó có khả năng cho phép bất kỳ người / mã độc nào phá vỡ các biện pháp bảo mật đã được thực hiện bằng cách truy cập mạng qua máy tính của bạn. Tin tôi đi tôi biết không có một đường hầm phân chia là phiền phức, nhưng hãy tự hỏi bản thân bạn có đáng để mạo hiểm không?

Bây giờ cảnh báo đã hết cách tôi có thể nói với bạn rằng Cisco AnyConnect ngăn chặn một đường hầm phân tách bằng cách viết lại tạm thời bảng định tuyến của máy tính chủ. Sử dụng route printtrước khi bạn bắt đầu AnyConnect và sử dụng lại sau để thấy sự khác biệt. Bạn có thể viết một tập lệnh để điều chỉnh bảng định tuyến và chạy nó sau khi bạn khởi động AnyConnect. Một giải pháp dễ dàng hơn có thể không vi phạm chính sách sử dụng mạng của bạn chỉ đơn giản là sử dụng VM với AnyConnect. NIC của máy chủ của bạn không bị khóa và bạn không vi phạm bất kỳ quy tắc nào ... tốt nhất của cả hai thế giới.

— ubiquibacon
nguồn

4

Cisco AnyConnect ngăn điều chỉnh tuyến đường trên Windows hoạt động.

— Nathan

0

Tôi chưa tìm ra cách chia đường hầm với Cisco AnyConnect. Đây là công việc của tôi.

Tôi đã thử sử dụng VPNC Front End nhưng một thông báo lỗi chung đã ngăn tôi sửa các cài đặt kết nối. Tôi cần thêm "Phiên bản ứng dụng Cisco Systems VPN Client 4.8.01 (0640): Linux" vào default.conf. Ngoài ra, khi kết nối được thiết lập, tôi không thể truy cập bất cứ thứ gì trong mạng LAN từ xa. Tôi cần tạo một tệp bó có thêm các tuyến cho các địa chỉ IP LAN từ xa (ví dụ route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180). Tệp bó tương tự cũng phải định cấu hình để sử dụng máy chủ DNS của LAN từ xa trước máy chủ DNS của ISP của tôi (ví dụ netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)

Để nhận được thông báo lỗi chi tiết hơn, tôi đã làm theo hướng dẫn trên BMC . Tôi đã phải cài đặt các gói bổ sung: Net openssl, Devel Libs openssl-devel và Interpreter perl.

— Nathan
nguồn

0

Mặc dù điều này sẽ không giúp ai đó cố gắng khắc phục sự bảo mật được đặt bởi ASA bởi quản trị viên, nhưng đối với người là quản trị viên ASA, Cisco có bài viết này, về việc thiết lập ASA và Anyconnect với quyền truy cập đường hầm phân chia:

Định cấu hình Máy khách di động an toàn AnyConnect với tính năng phân chia đường hầm trên ASA

— Đánh dấu
nguồn