Eu estou usando o Cisco AnyConnect Secure Mobility Client 3.1.02026 no Windows 7 de 64 bits. Ouvi dizer que existe uma caixa de seleção que permite o tunelamento dividido. No entanto, essa caixa de seleção é removida da GUI, provavelmente devido às configurações do administrador. O administrador não deseja fazer alterações na configuração. Eu gostaria de forçar o tunelamento dividido. Quão? Tudo bem se a solução usar um cliente VPN diferente. A solução não pode fazer alterações no servidor VPN. Eu tentei uma máquina virtual e ela funciona, mas gostaria de uma solução mais conveniente. Eu tentei mexer com a tabela de rotas, mas falhei provavelmente devido à falta de saber como fazê-lo corretamente.
Aqui está o meu route printantes de conectar-se à VPN.
===========================================================================
Interface List
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 11
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.0 255.255.255.0 On-link 192.168.1.3 266
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
192.168.1.255 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
27 58 ::/0 On-link
1 306 ::1/128 On-link
27 58 2001::/32 On-link
27 306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
On-link
14 266 fe80::/64 On-link
27 306 fe80::/64 On-link
27 306 fe80::3431:3b25:b736:1859/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
1 306 ff00::/8 On-link
27 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Aqui está o meu route printdepois de conectar à VPN.
===========================================================================
Interface List
19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
0.0.0.0 0.0.0.0 10.154.128.1 10.154.159.8 2
10.154.128.0 255.255.224.0 On-link 10.154.159.8 257
10.154.159.8 255.255.255.255 On-link 10.154.159.8 257
10.154.159.255 255.255.255.255 On-link 10.154.159.8 257
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
137.254.4.91 255.255.255.255 192.168.1.1 192.168.1.3 11
169.254.0.0 255.255.0.0 On-link 10.154.159.8 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 306
169.254.255.255 255.255.255.255 On-link 10.154.159.8 257
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.1 255.255.255.255 On-link 192.168.1.3 11
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 10.154.159.8 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 10.154.159.8 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
19 11 ::/0 On-link
1 306 ::1/128 On-link
19 266 fe80::/64 On-link
19 266 fe80::2a78:5341:7450:2bc1/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
19 266 fe80::c12f:601f:cdf:4304/128
On-link
19 266 fe80::c5c3:8e03:b9dd:7df5/128
On-link
1 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
vpn
cisco-anyconnect
split-tunnel
Nathan
fonte
fonte
Respostas:
Primeiro, entenda que a razão pela qual seus administradores de rede não permitiram o tunelamento dividido é porque potencialmente permite que qualquer pessoa / código malicioso contorne as medidas de segurança que foram implementadas acessando a rede através do seu computador. Acredite, eu sei que não ter um túnel dividido é irritante, mas pergunte a si mesmo se vale a pena o risco.
Agora que os avisos estão fora do caminho, posso dizer que o Cisco AnyConnect impede um túnel dividido reescrevendo temporariamente a tabela de roteamento do computador host. Use
route printantes de iniciar o AnyConnect e use-o novamente depois para ver as diferenças. Você pode escrever um script para ajustar a tabela de roteamento e executá-la após iniciar o AnyConnect. Uma solução mais fácil que provavelmente não viola sua política de uso de redes é simplesmente usar uma VM com AnyConnect. A NIC do seu host não é bloqueada e você não quebra nenhuma regra ... o melhor dos dois mundos.fonte
Eu não descobri como dividir o túnel com o Cisco AnyConnect. Aqui está o meu trabalho.
Tentei usar o VPNC Front End, mas uma mensagem de erro genérica me impediu de corrigir as configurações de conexão. Eu precisava adicionar "Versão do aplicativo Cisco Systems VPN Client 4.8.01 (0640): Linux" no default.conf. Além disso, depois que a conexão foi estabelecida, não consegui acessar nada na LAN remota. Eu precisava criar um arquivo em lotes que adicionasse rotas para os endereços IP da LAN remotos (por exemplo
route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180). O mesmo arquivo em lotes também precisava ser configurado para usar os servidores DNS da LAN remota antes dos servidores DNS do meu ISP (por exemplonetsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)Para obter uma mensagem de erro mais detalhada, segui as instruções no BMC . Eu tive que instalar pacotes adicionais: Net openssl, Devel Libs openssl-devel e Interpreters perl.
fonte
Embora isso não ajude alguém que está tentando contornar a segurança colocada no ASA por um administrador, para alguém que seja administrador do ASA, a Cisco tem este artigo sobre a configuração do ASA e do Anyconnect com acesso por túnel dividido:
Configurar o cliente seguro da mobilidade de AnyConnect com túnel dividido em um ASA
fonte