Разделенный туннель и Cisco AnyConnect

14

Я использую Cisco AnyConnect Secure Mobility Client 3.1.02026 в 64-разрядной версии Windows 7. Я слышал, есть флажок, который позволяет разделить туннелирование. Однако этот флажок удален из графического интерфейса, вероятно, из-за настроек администратора. Администратор не хочет вносить какие-либо изменения в конфигурацию. Я хотел бы заставить разделить туннелирование. Как? Ничего страшного, если в решении используется другой VPN-клиент. Решение не может вносить какие-либо изменения на VPN-сервер. Я попробовал виртуальную машину, и она работает, но я бы хотел более удобное решение. Я попытался возиться с таблицей маршрутов, но мне не удалось, вероятно, из-за отсутствия знаний, как сделать это правильно.

Вот мой route printдо подключения к VPN.

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Вот мой route printпосле подключения к VPN.

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
Натан
источник
Связанный: superuser.com/questions/284709/…
Вадим

Ответы:

7

Сначала поймите, что причина, по которой ваши сетевые администраторы запретили разделенное туннелирование, заключается в том, что он потенциально позволяет любому злоумышленнику / коду обойти меры безопасности, которые были реализованы путем доступа к сети через ваш компьютер. Поверьте мне, я знаю, что отсутствие разделенного туннеля раздражает, но спросите себя, стоит ли риск?

Теперь, когда предупреждения не принимаются, я могу сказать вам, что Cisco AnyConnect предотвращает разделенный туннель, временно переписывая таблицу маршрутизации хост-компьютера. Используйте route printперед запуском AnyConnect и используйте его снова после, чтобы увидеть различия. Вы можете написать скрипт для настройки таблицы маршрутизации и запустить ее после запуска AnyConnect. Более простое решение, которое, вероятно, не нарушает политику использования вашей сети, - это просто использование виртуальной машины с AnyConnect. Сетевая карта вашего хоста не блокируется, и вы не нарушаете никаких правил ... лучших из обоих миров.

ubiquibacon
источник
4
Cisco AnyConnect предотвращает корректировку маршрутов в Windows.
Натан
0

Я не понял, как разделить туннель с Cisco AnyConnect. Вот моя работа вокруг.

Я пытался использовать VPNC Front End, но общее сообщение об ошибке не позволило мне исправить настройки соединения. Мне нужно было добавить «Версия приложения Cisco Systems VPN Client 4.8.01 (0640): Linux» в default.conf. Кроме того, как только соединение было установлено, я не мог получить доступ к чему-либо в удаленной локальной сети. Мне нужно было создать командный файл, который добавил маршруты для IP-адресов удаленной локальной сети (например route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180). Этот же пакетный файл также нужно было настроить для использования DNS-серверов удаленной локальной сети, прежде чем DNS-серверы моего интернет-провайдера (например netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)

Чтобы получить более подробное сообщение об ошибке, я следовал инструкциям на BMC . Мне пришлось установить дополнительные пакеты: Net openssl, Devel Libs openssl-devel и Interpreters perl.

Натан
источник
0

Хотя это не поможет кому-то, кто пытается обойти безопасность, установленную на ASA администратором, для человека, который является администратором ASA, Cisco имеет следующую статью о настройке ASA и Anyconnect с доступом через раздельный туннель:

Настройте клиент AnyConnect Secure Mobility с разделенным туннелированием на ASA

Markl
источник