J'utilise Cisco AnyConnect Secure Mobility Client 3.1.02026 sur Windows 7 64 bits. J'ai entendu qu'il y avait une case à cocher qui permet le tunneling divisé. Cependant, cette case à cocher est supprimée de l'interface graphique probablement en raison des paramètres de l'administrateur. L'administrateur ne souhaite pas modifier la configuration. Je voudrais forcer le tunnelage divisé. Comment? Ce n'est pas grave si la solution utilise un autre client VPN. La solution ne peut effectuer aucune modification sur le serveur VPN. J'ai essayé une machine virtuelle et cela fonctionne, mais je voudrais une solution plus pratique. J'ai essayé de jouer avec la table de routage mais j'ai échoué probablement en raison du manque de savoir comment le faire correctement.
Voici mon route printavant de me connecter au VPN.
===========================================================================
Interface List
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 11
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.0 255.255.255.0 On-link 192.168.1.3 266
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
192.168.1.255 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
27 58 ::/0 On-link
1 306 ::1/128 On-link
27 58 2001::/32 On-link
27 306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
On-link
14 266 fe80::/64 On-link
27 306 fe80::/64 On-link
27 306 fe80::3431:3b25:b736:1859/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
1 306 ff00::/8 On-link
27 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Voici mon route printaprès la connexion au VPN.
===========================================================================
Interface List
19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
0.0.0.0 0.0.0.0 10.154.128.1 10.154.159.8 2
10.154.128.0 255.255.224.0 On-link 10.154.159.8 257
10.154.159.8 255.255.255.255 On-link 10.154.159.8 257
10.154.159.255 255.255.255.255 On-link 10.154.159.8 257
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
137.254.4.91 255.255.255.255 192.168.1.1 192.168.1.3 11
169.254.0.0 255.255.0.0 On-link 10.154.159.8 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 306
169.254.255.255 255.255.255.255 On-link 10.154.159.8 257
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.1 255.255.255.255 On-link 192.168.1.3 11
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 10.154.159.8 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 10.154.159.8 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
19 11 ::/0 On-link
1 306 ::1/128 On-link
19 266 fe80::/64 On-link
19 266 fe80::2a78:5341:7450:2bc1/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
19 266 fe80::c12f:601f:cdf:4304/128
On-link
19 266 fe80::c5c3:8e03:b9dd:7df5/128
On-link
1 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
vpn
cisco-anyconnect
split-tunnel
Nathan
la source
la source
Réponses:
Tout d'abord, comprenez que la raison pour laquelle vos administrateurs réseau ont interdit le tunneling fractionné est qu'il permet potentiellement à toute personne / code malveillant de contourner les mesures de sécurité mises en œuvre en accédant au réseau via votre ordinateur. Croyez-moi, je sais que le fait de ne pas avoir de tunnel divisé est ennuyeux, mais demandez-vous si cela vaut le risque?
Maintenant que les avertissements sont hors de portée, je peux vous dire que Cisco AnyConnect empêche un tunnel divisé en réécrivant temporairement la table de routage de l'ordinateur hôte. Utilisez
route printavant de démarrer AnyConnect et réutilisez-le après pour voir les différences. Vous pouvez écrire un script pour ajuster la table de routage et l'exécuter après avoir démarré AnyConnect. Une solution plus simple qui ne viole probablement pas votre politique d'utilisation des réseaux consiste simplement à utiliser une machine virtuelle avec AnyConnect. La carte réseau de votre hôte n'est pas verrouillée et vous n'enfreignez aucune règle ... le meilleur des deux mondes.la source
Je n'ai pas compris comment diviser le tunnel avec Cisco AnyConnect. Voici mon travail.
J'ai essayé d'utiliser VPNC Front End mais un message d'erreur générique m'a empêché de corriger les paramètres de connexion. J'avais besoin d'ajouter "Version d'application Cisco Systems VPN Client 4.8.01 (0640): Linux" dans default.conf. De plus, une fois la connexion établie, je ne pouvais accéder à rien dans le LAN distant. Je devais créer un fichier batch qui ajoutait des routes pour les adresses IP LAN distantes (par exemple
route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180). Le même fichier de commandes devait également être configuré pour utiliser les serveurs DNS du LAN distant avant les serveurs DNS de mon FAI (par exemplenetsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)Pour obtenir un message d'erreur plus détaillé, j'ai suivi les instructions sur BMC . J'ai dû installer des packages supplémentaires: Net openssl, Devel Libs openssl-devel et Interpreters perl.
la source
Bien que cela n'aidera pas quelqu'un qui essaie de contourner la sécurité placée sur l'ASA par un administrateur, pour quelqu'un qui EST un administrateur ASA, Cisco a cet article, sur la configuration de l'ASA et d'Anyconnect avec un accès de tunnel divisé:
Configurez AnyConnect Secure Mobility Client avec le tunneling fractionné sur un ASA
la source