Il client VPN Cisco AnyConnect SSL consente l'accesso alla LAN locale, ma non su un server multi-homed aggiuntivo

Abbiamo una macchina per la connessione tramite Cisco SSL VPN ( \\speeder).

posso eseguire il ping del nostro speederon 10.0.0.3:

La tabella di routing su \\speedermostra i molteplici indirizzi IP che gli sono stati assegnati:

Dopo aver effettuato la connessione con il client VPN Cisco AnyConnect:

non possiamo più fare il ping \\speeder:

E mentre ci sono nuove voci di routing per l'adattatore VPN Cisco, nessuna voce di routing esistente è stata modificata dopo la connessione:

È prevedibile che non possiamo eseguire il ping dell'indirizzo IP di Speeder sull'adattatore VPN Cisco (192.168.199.20) perché si trova su una sottorete diversa dalla nostra rete (siamo 10.0.xx 255.255.0.0), ovvero:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Il problema che stiamo riscontrando è che non è possibile eseguire il ping degli indirizzi IP esistenti su \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

eccetera

La cosa interessante, e potrebbe fornire un indizio, è che esiste un indirizzo con cui possiamo comunicare:

Con questo indirizzo possiamo effettuare il ping e comunicare con:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Ciò che rende questo un indirizzo IP speciale? Questo indirizzo IP ha la virtù di essere un indirizzo "principale":

A differenza degli indirizzi che utilizziamo, che sono indirizzi "aggiuntivi":

Per riassumere, quando il client Cisco AnyConnect VPN si connette, ci blocca da tutti gli indirizzi associati al computer.

Abbiamo bisogno che il client Cisco smetta di farlo.

Qualcuno sa come fare in modo che il client Cisco AnyConnect SSL VPN smetta di farlo?

Nota : Firepass SSL VPN da F5 Networks non presenta lo stesso problema.

Abbiamo contattato Cisco e dicono che questa configurazione non è supportata.

Ho segnalato Cisco Bug ID CSCts12090 (CCO richiesto) a Cisco alcune settimane fa. Ho appena iniziato a utilizzare AnyConnect circa 6 mesi fa e ho utilizzato solo la versione 3.0 e successive. Sembra che tu stia utilizzando una versione precedente alla 3.0.

Comunque, il bug che ho segnalato è molto simile (ma peggio). AnyConnect non è in grado di connettersi correttamente quando in alcuni casi vengono assegnati più IP alla NIC locale. Per i dettagli completi, consultare la segnalazione completa dei bug precedentemente collegata. È stato un bug confermato e verrà corretto in AC 3.1. AC 3.1 promette, come mi è stato detto, di essere una riscrittura piuttosto grande del codice di aggiornamento della tabella di routing locale che risolverà questo problema e una serie di altre stranezze con AC.

Mentre il problema che stai riscontrando non è esattamente come quello che ho segnalato in CSCts12090, è stranamente simile.

L'adattatore VPN Cisco è speciale, in quanto in modalità "predefinita", è progettato per inviare l'ultimo bit di traffico di rete attraverso il collegamento del tunnel. Ho eseguito il mirroring di quella configurazione da testare e in realtà un normale tunnel non mi avrebbe nemmeno permesso di eseguire il ping dell'indirizzo principale dell'interfaccia locale.

Tuttavia, con un tunnel diviso, in cui l'adattatore VPN gestisce il traffico solo per reti specifiche, sembra funzionare benissimo per indirizzi secondari.

Se puoi, fai cambiare la configurazione della connessione in tunnel diviso; se il tuo endpoint è un ASA, sarà split-tunnel-policye split-tunnel-network-listcomandi nella relativa group-policy.