O cliente Cisco AnyConnect SSL VPN permite acesso LAN local, mas não em servidor multi-homed adicional

Navegue suas respostas
16

Temos uma máquina para conexão via Cisco SSL VPN ( \speeder ).

eu posso fazer ping em nosso speeder on 10.0.0.3 :

Atabeladeroteamentoem\speedermostraosváriosendereçosIPqueatribuímosaela:

Após conectar-se ao cliente Cisco AnyConnect VPN:

nãopodemosmaispingar\speeder:

E, embora existam novas entradas de roteamento para o adaptador VPN da Cisco, nenhuma entrada de roteamento existente foi modificada após a conexão:

ÉdeseesperarquenãopossamosefetuaropingdoendereçoIPdoSpeedernoadaptadorVPNdaCisco(192.168.199.20)porqueeleestáemumasub-redediferentedanossarede(somos10.0.xx255.255.0,0),ouseja:

C:\Users\ian.AVATOPIA>ping192.168.199.20Pinging192.168.199.20with32bytesofdata:Requesttimedout.

Oproblemaqueestamosenfrentandoéque,emseguida,nãopodemosefetuaropingdeendereçosIPexistentesem\speeder:

C:\Users\ian.AVATOPIA>ping10.0.1.17Pinging10.0.1.17with32bytesofdata:Requesttimedout.C:\Users\ian.AVATOPIA>ping10.0.1.22Pinging10.0.1.22with32bytesofdata:Requesttimedout.C:\Users\ian.AVATOPIA>ping10.0.1.108Pinging10.0.1.108with32bytesofdata:Requesttimedout.

etc

Oqueéinteressanteepodefornecerumapistaéqueexisteumendereçocomoqualpodemosnoscomunicar:

Este endereço que nós podemos enviar e comunicar com: 

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

O que torna esse um endereço IP especial? Este endereço IP tem a virtude de ser um endereço "principal":

Aocontráriodosendereçosqueusamos,quesãoendereços"adicionais":

Pararesumir,quandooclienteCiscoAnyConnectVPNseconecta,elenosbloqueiadetodososendereçosassociadosaocomputador.

PrecisamosqueoCiscoClientparedefazerisso.

AlguémsabecomofazercomqueoclienteCiscoAnyConnectSSLVPNparedefazerisso?

Observação: Firepass SSL VPN da F5 Networks não sofre o mesmo problema.

Entramos em contato com a Cisco e eles dizem que essa configuração não é suportada.

    
por Ian Boyd 02.09.2011 / 16:10

2 respostas

1

Eu relatei o ID de bug da Cisco CSCts12090 (requer CCO ) para a Cisco há algumas semanas. Eu comecei a usar o AnyConnect há cerca de 6 meses e usei apenas a versão 3.0 e superior. Parece que você está usando uma versão anterior à 3.0.

De qualquer forma, o bug que relatei é muito semelhante (mas pior). AnyConnect não consegue se conectar com êxito quando vários IPs são atribuídos à NIC local em certos casos. Veja o relatório de bug completo vinculado anteriormente para obter detalhes completos. Foi um erro confirmado e será corrigido no AC 3.1. O AC 3.1 promete, como me foi dito, uma grande reescrita do código de atualização da tabela de roteamento local que irá corrigir isso e uma série de outras peculiaridades com o AC.

Enquanto o problema que você está enfrentando não é exatamente como o que eu relatei no CSCts12090, é estranhamente similar.

    
por 08.09.2011 / 09:01
1

O adaptador VPN da Cisco é especial, pois no modo "padrão", ele é projetado para enviar o último bit de tráfego de rede pelo link do túnel. Eu espelhei essa configuração para testar, e um túnel normal, na verdade, nem sequer me deixou pingar o endereço primário da interface local.

No entanto, com um túnel dividido, onde o adaptador VPN lida com tráfego apenas para redes especificadas, parece estar funcionando bem para endereços secundários.

Se você puder, faça com que a configuração da conexão seja alterada para um túnel dividido; se o seu endpoint for um ASA, serão os comandos split-tunnel-policy e split-tunnel-network-list no group-policy relevante.

    
por 02.09.2011 / 18:59

Tags

OpenSSH qualquer coisa como 'internal-sftp' mas para SCP? Alternativa de código aberto para paisagem canônica? [fechadas]