У меня есть экземпляр Amazon EC2 с Ubuntu 14.04, где у меня установлен клиент Cisco VPN. Я использую Cisco AnyConnect Secure Mobility Client (версия 3.1.04072).
Когда я запускаю VPN-клиент, я вижу некоторые исходные данные, которые указывают на то, что VPN-соединение устанавливается успешно, после чего я теряю доступ к серверу. Мне нужно перезапустить сервер с консоли, чтобы восстановить доступ.
Я предполагаю, что VPN портит таблицу маршрутизации, но я действительно не знаю, как это исправить. Я попытался добавить маршрут шлюза по умолчанию, прежде чем запустить openvpn, как объясняется в этом ответе: https://serverfault.com/a/649855/105464, но не повезло
Я могу успешно запустить тот же VPN-клиент на моем локальном компьютере с Ubuntu. Вот моя локальная таблица маршрутизации до и после VPN-подключения:
$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 wlan0
192.168.1.0 0.0.0.0 255.255.255.0 U 9 0 0 wlan0
$ ifconfig
cscotun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.22.145.31 P-t-P:172.22.145.31 Mask:255.255.240.0
inet6 addr: fe80::8863:d678:a432:4ba9/128 Scope:Link
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1
RX packets:903 errors:0 dropped:0 overruns:0 frame:0
TX packets:969 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:371960 (371.9 KB) TX bytes:268199 (268.1 KB)
eth0 Link encap:Ethernet HWaddr b4:b5:2f:75:f7:b5
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:3323045 errors:0 dropped:6 overruns:0 frame:0
TX packets:2694039 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3003631663 (3.0 GB) TX bytes:464943796 (464.9 MB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:673096 errors:0 dropped:0 overruns:0 frame:0
TX packets:673096 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:92228222 (92.2 MB) TX bytes:92228222 (92.2 MB)
$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 cscotun0
0.0.0.0 192.168.1.1 0.0.0.0 UG 256 0 0 wlan0
130.132.2.14 192.168.1.1 255.255.255.255 UGH 0 0 0 wlan0
172.22.144.0 0.0.0.0 255.255.240.0 U 0 0 0 cscotun0
192.168.1.0 0.0.0.0 255.255.255.0 U 9 0 0 wlan0
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 wlan0
$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ciscovpn all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ciscovpn all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ciscovpn all -- anywhere anywhere
Chain ciscovpn (3 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ciscovpnfw all -- anywhere anywhere
ciscovpnfw all -- anywhere anywhere
ciscovpnfw udp -- anywhere anywhere udp spt:bootpc dpt:bootps
ciscovpnfw udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ciscovpnfw udp -- anywhere anywhere udp spt:dhcpv6-client dpt:dhcpv6-server
ciscovpnfw udp -- anywhere anywhere udp spt:dhcpv6-server dpt:dhcpv6-client
ciscovpnfw tcp -- 192.168.1.124 vpn4.its.yale.edu tcp dpt:https
ciscovpnfw tcp -- vpn4.its.yale.edu 192.168.1.124 tcp spt:https
ciscovpnfw udp -- 192.168.1.124 vpn4.its.yale.edu udp dpt:https
ciscovpnfw udp -- vpn4.its.yale.edu 192.168.1.124 udp spt:https
ciscovpnfw all -- 192.168.1.124 192.168.1.0/24
ciscovpnfw all -- 192.168.1.0/24 192.168.1.124
ciscovpnfw all -- 192.168.1.0/24 192.168.1.255
ciscovpnfw all -- 192.168.1.124 192.168.1.255
ciscovpnfw udp -- 192.168.1.0/24 224.0.0.251 udp dpt:mdns
ciscovpnfw udp -- 192.168.1.124 224.0.0.251 udp dpt:mdns
ciscovpnfw udp -- 192.168.1.0/24 239.255.255.250 udp dpt:1900
ciscovpnfw udp -- 192.168.1.124 239.255.255.250 udp dpt:1900
ciscovpnfw all -- anywhere 255.255.255.255
ciscovpnfw all -- 192.168.1.124 255.255.255.255
ciscovpnfw udp -- 192.168.1.124 anywhere udp dpt:domain
ciscovpnfw udp -- anywhere 192.168.1.124 udp spt:domain
ciscovpnfw udp -- anywhere anywhere udp spt:bootpc dpt:bootps
ciscovpnfw udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ciscovpnfw udp -- anywhere anywhere udp spt:dhcpv6-client dpt:dhcpv6-server
ciscovpnfw udp -- anywhere anywhere udp spt:dhcpv6-server dpt:dhcpv6-client
ciscovpnfw all -- anywhere anywhere
ciscovpnfw all -- vpn172022145031.its.yale.internal anywhere
DROP all -- anywhere anywhere
Chain ciscovpnfw (28 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere