Der Cisco AnyConnect SSL VPN-Client ermöglicht den lokalen LAN-Zugriff, jedoch nicht auf einem zusätzlichen Multi-Homed-Server

16

Wir haben eine Maschine für die Verbindung über Cisco SSL VPN ( \\speeder).

Ich kann unsere unsere ping speederauf 10.0.0.3:

Bildbeschreibung hier eingeben

Die Routing-Tabelle auf \\speederzeigt die mehreren IP-Adressen, die wir ihm zugewiesen haben:

Bildbeschreibung hier eingeben

Nach dem Herstellen einer Verbindung mit dem Cisco AnyConnect VPN-Client:

Bildbeschreibung hier eingeben

wir können nicht mehr pingen \\speeder:

Bildbeschreibung hier eingeben

Während neue Routing-Einträge für den Cisco VPN-Adapter vorhanden sind, wurden nach dem Herstellen der Verbindung keine vorhandenen Routing-Einträge geändert:

Bildbeschreibung hier eingeben

Es ist zu erwarten, dass wir die IP-Adresse von Speeder nicht an den Cisco VPN-Adapter (192.168.199.20) senden können, da er sich in einem anderen Subnetz befindet als unser Netzwerk (10.0.xx 255.255.0.0), dh:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Das Problem ist, dass wir dann keine vorhandenen IP-Adressen anpingen können \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

etc

Interessant und möglicherweise ein Hinweis darauf, dass es eine Adresse gibt, mit der wir kommunizieren können:

Bildbeschreibung hier eingeben

Die Adresse wir können ping und kommunizieren mit:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Was macht diese eine IP-Adresse besonders? Diese eine IP-Adresse hat den Vorteil, dass sie eine „Hauptadresse“ ist:

Bildbeschreibung hier eingeben

Im Gegensatz zu den von uns verwendeten Adressen, die "zusätzliche" Adressen sind:

Bildbeschreibung hier eingeben

Zusammenfassend lässt sich sagen, dass der Cisco AnyConnect-VPN-Client beim Herstellen einer Verbindung alle mit dem Computer verknüpften Adressen außer einer blockiert.

Der Cisco-Client muss damit aufhören.

Kann jemand Cisco AnyConnect SSL VPN Klienten veranlassen, das zu stoppen?

Hinweis : Firepass SSL VPN von F5 Networks weist nicht dasselbe Problem auf.

Wir haben mit Cisco Kontakt aufgenommen und sie sagen, dass diese Konfiguration nicht unterstützt wird.

Ian Boyd
quelle

Antworten:

1

Ich habe Cisco vor einigen Wochen über die Cisco- Fehler- ID CSCts12090 (CCO erforderlich) informiert . Ich habe gerade vor ungefähr 6 Monaten mit AnyConnect begonnen und nur Version 3.0 und höher verwendet. Anscheinend verwenden Sie eine frühere Version als 3.0.

Wie auch immer, der Fehler, den ich gemeldet habe, ist sehr ähnlich (aber schlimmer). AnyConnect kann keine erfolgreiche Verbindung herstellen, wenn dem lokalen NIC in bestimmten Fällen mehrere IP-Adressen zugewiesen sind. Ausführliche Informationen finden Sie im vollständigen Fehlerbericht, der weiter oben verlinkt wurde. Es war ein bestätigter Fehler und wird in AC 3.1 behoben. Wie mir bereits gesagt wurde, verspricht AC 3.1, den Aktualisierungscode für die lokale Routing-Tabelle, mit dem das Problem behoben werden kann, und eine ganze Reihe anderer Macken bei AC umzuschreiben.

Während das Problem, das Sie haben, nicht genau dem entspricht, das ich in CSCts12090 beschrieben habe, ist es unheimlich ähnlich.

Weber
quelle
... fälschlicherweise ähnlich; und vielleicht wird das mit dem neuschreiben gerade behoben.
Ian Boyd
1

Der Cisco VPN-Adapter ist insofern besonders, als er im "Standard" -Modus so konzipiert ist, dass er jeden noch so kleinen Teil des Netzwerkverkehrs über die Tunnelverbindung sendet. Ich habe diese Konfiguration zum Testen gespiegelt, und in einem normalen Tunnel konnte ich nicht einmal die primäre Adresse der lokalen Schnittstelle anpingen.

Bei einem geteilten Tunnel, bei dem der VPN-Adapter den Datenverkehr nur für bestimmte Netzwerke verarbeitet, scheint er jedoch für sekundäre Adressen hervorragend zu funktionieren.

Wenn möglich, ändern Sie die Konfiguration der Verbindung in einen geteilten Tunnel. Wenn es sich bei Ihrem Endpunkt um einen ASA handelt, handelt es sich um einen split-tunnel-policyund split-tunnel-network-listBefehle in der entsprechenden group-policy.

Shane Madden
quelle
1
Das war die Terminologie "geteilter Tunnel" für das, was auf dem Server aktiviert war. und es hat sich nicht geändert. (" Für das RSA-Token für das SSL_Vendor-Profil ist jetzt Split-Tunneling aktiviert. Dies sollte Anbietern nun den Zugriff auf ihr lokales LAN ermöglichen, wenn eine Verbindung hergestellt wurde ") . Dies ermöglichte dem lokalen LAN den Zugriff auf den VPN-Client-Computer über die "Haupt" -IP (während zuvor) wir konnten nicht) - aber es erlaubte keine Verbindungen zu den VPN-Client-Maschinen über andere IP-Adressen.
Ian Boyd