Назад | Перейти на главную страницу

Клиент Cisco AnyConnect SSL VPN обеспечивает доступ к локальной сети, но не на дополнительном многосетевом сервере.

У нас есть машина для подключения через Cisco SSL VPN (\\speeder).

я могу пинговать наш speeder на 10.0.0.3:

Таблица маршрутизации на \\speeder показывает несколько IP-адресов, которые мы ему присвоили:

После подключения к клиенту Cisco AnyConnect VPN:

мы больше не можем пинговать \\speeder:

И хотя есть новые записи маршрутизации для адаптера Cisco VPN, существующие записи маршрутизации не были изменены после подключения:

Ожидается, что мы не сможем проверить IP-адрес Speeder. на адаптере Cisco VPN (192.168.199.20), потому что он находится в другой подсети, чем наша сеть (мы 10.0.x.x 255.255.0.0), то есть:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Проблема, с которой мы сталкиваемся, заключается в том, что мы не можем пинговать существующий IP-адреса на \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

и т.д

Что интересно и может дать ключ к разгадке, так это то, что существует один адрес, с которым мы можем общаться:

Этот адрес мы жестяная банка пинговать и общаться с:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Что делает это один IP-адрес особенный? Этот единственный IP-адрес является «основным» адресом:

В отличие от адресов, которые мы используем, которые являются «дополнительными» адресами:

Подводя итог, можно сказать, что когда клиент Cisco AnyConnect VPN подключается, он блокирует доступ к универсальному адресу, связанному с компьютером.

Нам нужно, чтобы клиент Cisco прекратил это делать.

Кто-нибудь знает, как заставить клиента Cisco AnyConnect SSL VPN перестать это делать?

Заметка: Firepass SSL VPN от F5 Networks не страдает той же проблемой.

Мы связались с Cisco, и они говорят, что эта конфигурация не поддерживается.

Адаптер Cisco VPN отличается тем, что в режиме «по умолчанию» он предназначен для отправки каждого последнего бита сетевого трафика по каналу туннеля. Я отразил эту конфигурацию для тестирования, и нормальный туннель на самом деле даже не позволял мне пинговать первичный адрес локального интерфейса.

Однако с разделенным туннелем, когда адаптер VPN обрабатывает трафик только для определенных сетей, кажется, что он отлично работает для вторичных адресов.

Если можете, измените конфигурацию соединения на разделенный туннель; если ваша конечная точка - ASA, это будет split-tunnel-policy и split-tunnel-network-list команды в соответствующих group-policy.

Я сообщил идентификатор ошибки Cisco CSCts12090 (Требуется CCO) в Cisco несколько недель назад. Я только начал использовать AnyConnect около 6 месяцев назад и использовал только версию 3.0 и выше. Похоже, вы используете более раннюю версию, чем 3.0.

В любом случае, ошибка, о которой я сообщил, очень похожа (но хуже). AnyConnect не может успешно подключиться, когда в некоторых случаях локальному сетевому адаптеру назначены несколько IP-адресов. См. Полный отчет об ошибке, связанный ранее, для получения полной информации. Это подтвержденная ошибка, которая будет исправлена ​​в AC 3.1. Как мне сказали, AC 3.1 обещает быть довольно большой переработкой кода обновления локальной таблицы маршрутизации, который исправит это и множество других причуд AC.

Хотя проблема, с которой вы столкнулись, не совсем похожа на ту, о которой я сообщил в CSCts12090, она очень похожа.