Le client VPN SSL Cisco AnyConnect autorise l'accès au réseau local, mais pas sur un serveur multi-hébergement supplémentaire

17

Nous avons une machine pour se connecter via Cisco SSL VPN ( \\speeder).

je peux cingler notre notre speedersur 10.0.0.3:

entrez la description de l'image ici

Le tableau de routage sur \\speedermontre les multiples adresses IP que nous lui avons attribuées:

entrez la description de l'image ici

Après la connexion avec le client VPN Cisco AnyConnect:

entrez la description de l'image ici

on ne peut plus cingler \\speeder:

entrez la description de l'image ici

Et bien qu'il existe de nouvelles entrées de routage pour l'adaptateur VPN Cisco, aucune entrée de routage existante n'a été modifiée après la connexion:

entrez la description de l'image ici

Il est à prévoir que nous ne pouvons pas envoyer de ping à l'adresse IP de Speeder sur l'adaptateur VPN Cisco (192.168.199.20) car il se trouve sur un sous-réseau différent de notre réseau (nous sommes 10.0.xx 255.255.0.0), c'est-à-dire:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

Le problème que nous rencontrons est que nous ne pouvons pas envoyer de ping aux adresses IP existantes sur \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

etc

Ce qui est intéressant et pourrait fournir un indice, c'est qu'il y a une adresse avec laquelle nous pouvons communiquer:

entrez la description de l'image ici

Cette adresse, nous pouvons cingler et communiquer avec:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Qu'est-ce qui rend cette adresse IP unique ? Cette adresse IP unique a le mérite d'être une adresse «principale»:

entrez la description de l'image ici

Contrairement aux adresses que nous utilisons, qui sont des adresses «supplémentaires»:

entrez la description de l'image ici

Pour résumer, lorsque le client VPN Cisco AnyConnect se connecte, il nous bloque de toutes les adresses sauf une associées à l'ordinateur.

Nous avons besoin du client Cisco pour arrêter cela.

Est-ce que quelqu'un sait comment faire arrêter le client VPN SSL Cisco AnyConnect?

Remarque : Le VPN SSL Firepass des réseaux F5 ne rencontre pas le même problème.

Nous avons contacté Cisco et ils disent que cette configuration n'est pas prise en charge.

Ian Boyd
la source

Réponses:

1

J'ai signalé l'ID de bogue Cisco CSCts12090 (CCO requis) à Cisco il y a quelques semaines. Je viens de commencer à utiliser AnyConnect il y a environ 6 mois et je n'ai utilisé que la version 3.0 et plus. Il semble que vous utilisiez une version antérieure à 3.0.

Quoi qu'il en soit, le bug que j'ai signalé est très similaire (mais pire). AnyConnect ne parvient pas à se connecter correctement lorsque plusieurs IP sont attribuées à la carte réseau locale dans certains cas. Voir le rapport de bogue complet lié plus tôt pour plus de détails. C'était un bug confirmé et va être corrigé dans AC 3.1. AC 3.1 promet, comme on m'a dit, d'être une réécriture assez importante du code de mise à jour de la table de routage local qui va résoudre ce problème et une flopée d'autres caprices avec AC.

Bien que le problème que vous rencontrez ne soit pas exactement comme celui que j'ai signalé dans CSCts12090, il est étrangement similaire.

Tisserand
la source
... erronément similaire; et peut-être pourrait-il simplement être corrigé avec la réécriture.
Ian Boyd, le
1

L'adaptateur VPN Cisco est spécial, en ce sens qu'en mode "par défaut", il est conçu pour envoyer le dernier bit de trafic réseau via la liaison du tunnel. J'ai reflété cette configuration à tester, et un tunnel normal ne me laisserait même pas cingler l'adresse principale de l'interface locale.

Cependant, avec un tunnel divisé, où l'adaptateur VPN gère le trafic uniquement pour les réseaux spécifiés, il semble fonctionner parfaitement pour les adresses secondaires.

Si vous le pouvez, changez la configuration de la connexion pour qu'elle soit un tunnel divisé; si votre point de terminaison est un ASA, ce sera split-tunnel-policyet les split-tunnel-network-listcommandes dans le pertinent group-policy.

Shane Madden
la source
1
C'était la terminologie, "split tunnel", de ce qui était activé sur le serveur; et ça n'a pas changé. (" Le jeton RSA pour le profil SSL_Vendor a désormais activé le tunneling fractionné. Cela devrait maintenant permettre aux fournisseurs d'accéder à leur LAN local lorsqu'ils sont connectés "). nous ne pouvions pas) - mais il ne permettait pas les connexions aux machines clientes vpn via d'autres adresses IP.
Ian Boyd