Il client VPN Cisco AnyConnect SSL consente l'accesso alla LAN locale, ma non su un server multi-homed aggiuntivo


17

Abbiamo una macchina per la connessione tramite Cisco SSL VPN ( \\speeder).

posso eseguire il ping del nostro speederon 10.0.0.3:

inserisci qui la descrizione dell'immagine

La tabella di routing su \\speedermostra i molteplici indirizzi IP che gli sono stati assegnati:

inserisci qui la descrizione dell'immagine

Dopo aver effettuato la connessione con il client VPN Cisco AnyConnect:

inserisci qui la descrizione dell'immagine

non possiamo più fare il ping \\speeder:

inserisci qui la descrizione dell'immagine

E mentre ci sono nuove voci di routing per l'adattatore VPN Cisco, nessuna voce di routing esistente è stata modificata dopo la connessione:

inserisci qui la descrizione dell'immagine

È prevedibile che non possiamo eseguire il ping dell'indirizzo IP di Speeder sull'adattatore VPN Cisco (192.168.199.20) perché si trova su una sottorete diversa dalla nostra rete (siamo 10.0.xx 255.255.0.0), ovvero:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Il problema che stiamo riscontrando è che non è possibile eseguire il ping degli indirizzi IP esistenti su \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

eccetera

La cosa interessante, e potrebbe fornire un indizio, è che esiste un indirizzo con cui possiamo comunicare:

inserisci qui la descrizione dell'immagine

Con questo indirizzo possiamo effettuare il ping e comunicare con:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Ciò che rende questo un indirizzo IP speciale? Questo indirizzo IP ha la virtù di essere un indirizzo "principale":

inserisci qui la descrizione dell'immagine

A differenza degli indirizzi che utilizziamo, che sono indirizzi "aggiuntivi":

inserisci qui la descrizione dell'immagine

Per riassumere, quando il client Cisco AnyConnect VPN si connette, ci blocca da tutti gli indirizzi associati al computer.

Abbiamo bisogno che il client Cisco smetta di farlo.

Qualcuno sa come fare in modo che il client Cisco AnyConnect SSL VPN smetta di farlo?

Nota : Firepass SSL VPN da F5 Networks non presenta lo stesso problema.

Abbiamo contattato Cisco e dicono che questa configurazione non è supportata.

Risposte:


1

Ho segnalato Cisco Bug ID CSCts12090 (CCO richiesto) a Cisco alcune settimane fa. Ho appena iniziato a utilizzare AnyConnect circa 6 mesi fa e ho utilizzato solo la versione 3.0 e successive. Sembra che tu stia utilizzando una versione precedente alla 3.0.

Comunque, il bug che ho segnalato è molto simile (ma peggio). AnyConnect non è in grado di connettersi correttamente quando in alcuni casi vengono assegnati più IP alla NIC locale. Per i dettagli completi, consultare la segnalazione completa dei bug precedentemente collegata. È stato un bug confermato e verrà corretto in AC 3.1. AC 3.1 promette, come mi è stato detto, di essere una riscrittura piuttosto grande del codice di aggiornamento della tabella di routing locale che risolverà questo problema e una serie di altre stranezze con AC.

Mentre il problema che stai riscontrando non è esattamente come quello che ho segnalato in CSCts12090, è stranamente simile.


... erroneamente simile; e forse potrebbe semplicemente essere risolto con la riscrittura.
Ian Boyd,

1

L'adattatore VPN Cisco è speciale, in quanto in modalità "predefinita", è progettato per inviare l'ultimo bit di traffico di rete attraverso il collegamento del tunnel. Ho eseguito il mirroring di quella configurazione da testare e in realtà un normale tunnel non mi avrebbe nemmeno permesso di eseguire il ping dell'indirizzo principale dell'interfaccia locale.

Tuttavia, con un tunnel diviso, in cui l'adattatore VPN gestisce il traffico solo per reti specifiche, sembra funzionare benissimo per indirizzi secondari.

Se puoi, fai cambiare la configurazione della connessione in tunnel diviso; se il tuo endpoint è un ASA, sarà split-tunnel-policye split-tunnel-network-listcomandi nella relativa group-policy.


1
Questa era la terminologia, "split tunnel", di ciò che era abilitato sul server; e non è cambiato. (" Il token RSA per il profilo SSL_Vendor ora ha il tunneling diviso abilitato. Ciò dovrebbe ora consentire ai fornitori di accedere alla propria LAN locale quando connessi ") Consentiva alla LAN locale di accedere al computer client VPN sull'IP "principale" (mentre prima non potevamo) - ma non consentiva connessioni ai computer client VPN tramite altri indirizzi IP.
Ian Boyd,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.