Split Tunnel und Cisco AnyConnect

13

Ich verwende Cisco AnyConnect Secure Mobility Client 3.1.02026 unter Windows 7 64-Bit. Ich habe gehört, dass es eine Checkbox gibt, die Split-Tunneling ermöglicht. Dieses Kontrollkästchen wird jedoch möglicherweise aufgrund der Administratoreinstellungen von der Benutzeroberfläche entfernt. Der Administrator möchte keine Konfigurationsänderungen vornehmen. Ich möchte Split-Tunneling erzwingen. Wie? Es ist in Ordnung, wenn die Lösung einen anderen VPN-Client verwendet. Die Lösung kann keine Änderungen am VPN-Server vornehmen. Ich habe versucht, eine virtuelle Maschine und es funktioniert, aber ich möchte eine bequemere Lösung. Ich habe versucht, mit der Routentabelle herumzuspielen, aber ich bin wahrscheinlich gescheitert, weil ich nicht wusste, wie ich es richtig machen soll.

Hier ist meine route printvor dem Verbinden mit dem VPN.

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Hier ist meine route printnach dem Verbinden mit dem VPN.

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
Nathan
quelle

Antworten:

6

Verstehen Sie zunächst, dass der Grund, warum Ihre Netzwerkadministratoren Split-Tunneling nicht zugelassen haben, darin besteht, dass potenziell jede böswillige Person / jeder böswillige Code die Sicherheitsmaßnahmen umgehen kann, die durch den Zugriff auf das Netzwerk über Ihren Computer implementiert wurden. Glauben Sie mir, ich weiß, dass es ärgerlich ist, keinen geteilten Tunnel zu haben, aber fragen Sie sich, ist es das Risiko wert?

Nachdem Warnungen nicht mehr möglich sind, kann ich Ihnen mitteilen, dass Cisco AnyConnect einen geteilten Tunnel verhindert, indem die Routing-Tabelle des Host-Computers vorübergehend neu geschrieben wird. Verwenden route printSie diese Option, bevor Sie AnyConnect starten, und verwenden Sie sie anschließend erneut, um die Unterschiede zu erkennen. Sie können ein Skript schreiben, um die Routing-Tabelle anzupassen und nach dem Starten von AnyConnect auszuführen. Eine einfachere Lösung, die wahrscheinlich nicht gegen die Nutzungsrichtlinie Ihres Netzwerks verstößt, ist die Verwendung einer VM mit AnyConnect. Die Netzwerkkarte Ihres Gastgebers wird nicht gesperrt und Sie brechen keine Regeln ... das Beste aus beiden Welten.

Ubiquibacon
quelle
4
Cisco AnyConnect verhindert, dass Routenanpassungen unter Windows funktionieren.
Nathan
0

Ich habe nicht herausgefunden, wie ich einen Tunnel mit Cisco AnyConnect teilen kann. Hier ist meine Arbeit.

Ich habe versucht, VPNC-Front-End zu verwenden, aber eine allgemeine Fehlermeldung hat mich daran gehindert, die Verbindungseinstellungen zu korrigieren. Ich musste "Anwendungsversion Cisco Systems VPN Client 4.8.01 (0640): Linux" in default.conf hinzufügen. Sobald die Verbindung hergestellt war, konnte ich im Remote-LAN nicht mehr auf etwas zugreifen. Ich musste eine Batch-Datei erstellen, die Routen für die Remote-LAN-IP-Adressen hinzufügte (z route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180. B. ). Dieselbe Batch-Datei musste auch so konfiguriert werden, dass die DNS-Server des Remote-LAN zuerst verwendet wurden, bevor die DNS-Server meines Internetdienstanbieters (z. B. netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)

Um eine detailliertere Fehlermeldung zu erhalten, habe ich die Anweisungen auf BMC befolgt . Ich musste zusätzliche Pakete installieren: Net openssl, Devel Libs openssl-devel und Interpreters perl.

Nathan
quelle