O cliente Cisco AnyConnect SSL VPN permite acesso local à LAN, mas não em um servidor multi-homed adicional

17

Temos uma máquina para conexão via Cisco SSL VPN ( \\speeder).

eu posso fazer ping speederno nosso on 10.0.0.3:

insira a descrição da imagem aqui

A tabela de roteamento \\speedermostra os vários endereços IP que atribuímos a ela:

insira a descrição da imagem aqui

Após conectar com o cliente Cisco AnyConnect VPN:

insira a descrição da imagem aqui

não podemos mais executar ping \\speeder:

insira a descrição da imagem aqui

E embora existam novas entradas de roteamento para o adaptador Cisco VPN, nenhuma entrada de roteamento existente foi modificada após a conexão:

insira a descrição da imagem aqui

É de se esperar que não possamos executar ping no endereço IP do Speeder no adaptador Cisco VPN (192.168.199.20) porque ele está em uma sub-rede diferente da nossa rede (somos 10.0.xx 255.255.0.0), ou seja:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

O problema que estamos enfrentando é que não podemos executar ping nos endereços IP existentes em \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

etc

O que é interessante e pode fornecer uma pista é que há um endereço com o qual podemos nos comunicar:

insira a descrição da imagem aqui

Neste endereço, podemos efetuar ping e nos comunicar com:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

O que torna esse único endereço IP especial? Este único endereço IP tem a virtude de ser um endereço "principal":

insira a descrição da imagem aqui

Ao contrário dos endereços que usamos, que são endereços "adicionais":

insira a descrição da imagem aqui

Para resumir, quando o cliente Cisco AnyConnect VPN se conecta, ele nos bloqueia do endereço quase todos associado ao computador.

Precisamos que o Cisco Client pare de fazer isso.

Alguém sabe como fazer o cliente VPN Cisco AnyConnect SSL parar de fazer isso?

Nota : O Firepass SSL VPN da F5 Networks não sofre o mesmo problema.

Entramos em contato com a Cisco e eles dizem que essa configuração não é suportada.

Ian Boyd
fonte

Respostas:

1

Eu relatei a Cisco Bug ID CSCts12090 (necessário CCO) à Cisco algumas semanas atrás. Eu comecei a usar o AnyConnect há cerca de 6 meses e usei apenas a versão 3.0 ou superior. Parece que você está usando uma versão anterior à 3.0.

Enfim, o bug que relatei é muito parecido (mas pior). AnyConnect é incapaz de conectar com sucesso quando IP múltiplos são atribuídos ao NIC local em certos casos. Veja o relatório completo de erros vinculado anteriormente para obter detalhes completos. Foi um bug confirmado e será corrigido no AC 3.1. O AC 3.1 promete, como me disseram, ser uma reescrita bastante grande do código de atualização da tabela de roteamento local que corrigirá isso e uma série de outras peculiaridades com o AC.

Embora o problema que você está enfrentando não seja exatamente igual ao que relatei no CSCts12090, é assustadoramente semelhante.

Tecelão
fonte
... erradamente semelhante; e talvez seja corrigido com a reescrita.
Ian Boyd
1

O adaptador Cisco VPN é especial, pois no modo "padrão", ele foi projetado para enviar todo o último tráfego da rede pelo link do túnel. Eu espelhei essa configuração para testar, e um túnel normal na verdade nem me deixou fazer ping no endereço principal da interface local.

No entanto, com um túnel dividido, em que o adaptador VPN lida com tráfego apenas para redes especificadas, parece estar funcionando muito bem para endereços secundários.

Se você puder, altere a configuração da conexão para ser um túnel dividido; se seu valor-limite for um ASA, será split-tunnel-policye split-tunnel-network-listcomandos no relevante group-policy.

Shane Madden
fonte
11
Essa era a terminologia, "split tunnel", do que estava ativado no servidor; e isso não mudou. (" O token RSA para o perfil SSL_Vendor agora tem o tunelamento dividido ativado. Isso agora deve permitir que os fornecedores acessem sua LAN local quando conectado ") Permitia que a LAN local acessasse a máquina cliente vpn no IP "principal" (antes não podíamos) - mas não permitia conexões com as máquinas clientes VPN através de outros endereços IP.
22611 Ian Boyd