Я использую Cisco AnyConnect Secure Mobility Client 3.1.02026 в 64-разрядной версии Windows 7. Я слышал, есть флажок, который позволяет разделить туннелирование. Однако этот флажок удален из графического интерфейса, вероятно, из-за настроек администратора. Администратор не хочет вносить какие-либо изменения в конфигурацию. Я хотел бы заставить разделить туннелирование. Как? Ничего страшного, если в решении используется другой VPN-клиент. Решение не может вносить какие-либо изменения на VPN-сервер. Я попробовал виртуальную машину, и она работает, но я бы хотел более удобное решение. Я попытался возиться с таблицей маршрутов, но мне не удалось, вероятно, из-за отсутствия знаний, как сделать это правильно.
Вот мой route print
до подключения к VPN.
===========================================================================
Interface List
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 11
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.0 255.255.255.0 On-link 192.168.1.3 266
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
192.168.1.255 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
27 58 ::/0 On-link
1 306 ::1/128 On-link
27 58 2001::/32 On-link
27 306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
On-link
14 266 fe80::/64 On-link
27 306 fe80::/64 On-link
27 306 fe80::3431:3b25:b736:1859/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
1 306 ff00::/8 On-link
27 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Вот мой route print
после подключения к VPN.
===========================================================================
Interface List
19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
0.0.0.0 0.0.0.0 10.154.128.1 10.154.159.8 2
10.154.128.0 255.255.224.0 On-link 10.154.159.8 257
10.154.159.8 255.255.255.255 On-link 10.154.159.8 257
10.154.159.255 255.255.255.255 On-link 10.154.159.8 257
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
137.254.4.91 255.255.255.255 192.168.1.1 192.168.1.3 11
169.254.0.0 255.255.0.0 On-link 10.154.159.8 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 306
169.254.255.255 255.255.255.255 On-link 10.154.159.8 257
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.1 255.255.255.255 On-link 192.168.1.3 11
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 10.154.159.8 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 10.154.159.8 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
19 11 ::/0 On-link
1 306 ::1/128 On-link
19 266 fe80::/64 On-link
19 266 fe80::2a78:5341:7450:2bc1/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
19 266 fe80::c12f:601f:cdf:4304/128
On-link
19 266 fe80::c5c3:8e03:b9dd:7df5/128
On-link
1 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Ответы:
Сначала поймите, что причина, по которой ваши сетевые администраторы запретили разделенное туннелирование, заключается в том, что он потенциально позволяет любому злоумышленнику / коду обойти меры безопасности, которые были реализованы путем доступа к сети через ваш компьютер. Поверьте мне, я знаю, что отсутствие разделенного туннеля раздражает, но спросите себя, стоит ли риск?
Теперь, когда предупреждения не принимаются, я могу сказать вам, что Cisco AnyConnect предотвращает разделенный туннель, временно переписывая таблицу маршрутизации хост-компьютера. Используйте
route print
перед запуском AnyConnect и используйте его снова после, чтобы увидеть различия. Вы можете написать скрипт для настройки таблицы маршрутизации и запустить ее после запуска AnyConnect. Более простое решение, которое, вероятно, не нарушает политику использования вашей сети, - это просто использование виртуальной машины с AnyConnect. Сетевая карта вашего хоста не блокируется, и вы не нарушаете никаких правил ... лучших из обоих миров.источник
Я не понял, как разделить туннель с Cisco AnyConnect. Вот моя работа вокруг.
Я пытался использовать VPNC Front End, но общее сообщение об ошибке не позволило мне исправить настройки соединения. Мне нужно было добавить «Версия приложения Cisco Systems VPN Client 4.8.01 (0640): Linux» в default.conf. Кроме того, как только соединение было установлено, я не мог получить доступ к чему-либо в удаленной локальной сети. Мне нужно было создать командный файл, который добавил маршруты для IP-адресов удаленной локальной сети (например
route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180
). Этот же пакетный файл также нужно было настроить для использования DNS-серверов удаленной локальной сети, прежде чем DNS-серверы моего интернет-провайдера (напримерnetsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1
)Чтобы получить более подробное сообщение об ошибке, я следовал инструкциям на BMC . Мне пришлось установить дополнительные пакеты: Net openssl, Devel Libs openssl-devel и Interpreters perl.
источник
Хотя это не поможет кому-то, кто пытается обойти безопасность, установленную на ASA администратором, для человека, который является администратором ASA, Cisco имеет следующую статью о настройке ASA и Anyconnect с доступом через раздельный туннель:
Настройте клиент AnyConnect Secure Mobility с разделенным туннелированием на ASA
источник