Назад | Перейти на главную страницу

Cisco VPN блокирует весь интернет-трафик, и раздельное туннелирование не разрешено

[ПРИМЕЧАНИЕ: ЭТОТ ВОПРОС Я РАЗМЕИЛ ТАКЖЕ В "СУПЕРПОЛЬЗОВАТЕЛЕ"]

На работе у нас есть машины с Windows 10. У нас также есть клиентская виртуальная машина VMWare Workstation (Ubuntu), работающая локально. Клиент обеспечивает подключение наших хост-компьютеров к серверу VPN. Подключение к VPN-серверу позволяет нам загружать необходимые файлы, подключаться к Интернету и т. Д. Все это происходит внутри виртуальной машины Ubuntu.

Однако VPN-соединение (Cisco AnyConnect) блокирует любой доступ в Интернет с хост-компьютеров (Windows 10): когда мы подключены к VPN: Outlook не работает, Lync не работает, хост-Интернет не работает и т. Д. Конечно:

• Заказчик не предоставляет раздельное туннелирование (и не будет его предоставлять). Если мы попытаемся запустить (например) другую службу VPN, клиентская VPN отключается ...: вся работа, которую вы выполняли в течение нескольких часов внутри виртуальной машины (загрузка ГБ файлов, компиляция кода с помощью инструментов, доступных только с помощью VPN и т.д.) потеряна.

• Доступ к Интернету через виртуальную машину чрезвычайно ограничен: мы не можем Google проверять команду bash, Python или C; вы не можете получить доступ к StackOverflow ... Пытаюсь найти решение:

• Я подумываю установить VirtualBox (чтобы избежать конфликтов с клиентской средой);

• Установите виртуальную машину Windows 10 (да ... гость W10 на хосте W10);

• Перенаправьте порт USB на гостевую машину W10;

• Подключите к этому USB-порту внешнюю карту WiFi.

При такой конфигурации я предполагаю, что клиентская VPN не «поймет», что один порт USB был украден с хост-машины. Таким образом, мы могли бы иметь Интернет-трафик внутри гостевой машины W10, используя внешнюю карту WiFi через порт USB.

Вопросы:

  1. Возможна ли такая конфигурация?

  2. Обеспечит ли эта конфигурация то решение, которое мы ищем?

  3. Я не понимаю, как хост-приложения (Outlook, Lync, браузеры) смогут получить выгоду от гостевого доступа в Интернет. Есть ли способ использовать гостевую машину W10 в качестве шлюза или прокси для хоста (странно ... правда?)?

  4. Наконец, я нашел где-то совет, связанный с некоторой обфускацией интернет-трафика украденного USB-порта. Но, если он действительно украден, и клиентская VPN не имеет возможности (?) Узнать, что украденный порт существует, я не считаю это необходимым шагом, если только этот сценарий не может рассматриваться как раздельное туннелирование и, следовательно, Интернет трафик гостя W10 уязвим для внешних атак, как это обычно описывается в документах, связанных с раздельным туннелированием.

Заранее спасибо! Любая помощь будет очень признательна!

Вы можете создать виртуальную машину Linux на этой машине и DNS-сервер Linux где-нибудь еще. Затем вы можете туннелировать свой трафик через DNS. Это не идеально, но сработает.

Не совсем понятно, чего вы хотите достичь, и, прежде чем идти по этому пути, убедитесь, что вы понимаете политику безопасности вашего работодателя в отношении VPN-подключения, чтобы вернуться к работе (и описываемая вами настройка звучит до странности знакомой, настолько, что вам следует изучить ВНУТРЕННИЕ ресурсы, такие как веб-сайты и списки рассылки, которые ищут решение вашей проблемы).

Говоря, что я предполагаю, что у вас есть проблема:

  1. Вы работаете (постоянно или временно) на оборудовании своего работодателя из дома или на территории клиента.
  2. При выполнении вышеизложенного вы подключаетесь с помощью Cisco Anyconnect, который, как вы описали, направляет ВСЕ интернет-трафик на шлюзы VPN.
  3. На этом этапе вы не можете подключить виртуальную машину вашего клиента к их VPN, и вам нужны оба для выполнения вашей работы.

Способ сделать это ИМХО - привлечь вашего менеджера и работать с ИТ-отделами обеих компаний, чтобы найти решение этой проблемы. Это может (в зависимости от политик безопасности на обоих концах) означать предоставление настраиваемых политик безопасности для вашего ноутбука, предоставление вам ДВУХ систем, одну для подключения к вашему работодателю, а другую для подключения к вашему клиенту, или наличие ДВЕ виртуальных машин под одним ХОСТОМ - вместо двух. физические системы, одна из которых связана с VPN вашего работодателя, другая - с вашим клиентом.

Клиент Cisco AnyConnect - это такой же клиент безопасности, как и клиент VPN. Он действительно разработан для обеспечения соблюдения политик безопасности в отношении оборудования компании, например для раздельного туннелирования.

Тот факт, что ваш клиент навязывает чрезмерно строгую политику безопасности оборудованию, которое ему не принадлежит, и это серьезно влияет на вашу работоспособность, на самом деле неприемлем. Это должно быть решено путем согласования другой политики или подключения к их сети.

Маловероятно, что вы сможете подключить или использовать дополнительное подключение к Интернету для доступа в Интернет. Как уже говорилось, клиент Cisco - это больше, чем клиент VPN. Он перехватывает ваш сетевой трафик и запросы DNS и принудительно блокирует трафик.

Поскольку клиент применяет строгие политики в системе, вероятно, не существует поддерживаемого метода выполнения того, о чем вы просите.