El cliente VPN SSL de AnyConnect de Cisco permite el acceso a la LAN local, pero no en un servidor multitarjeta adicional

17

Tenemos una máquina para conectarse a través de Cisco SSL VPN ( \\speeder).

Puedo hacer ping nuestra nuestra speederen 10.0.0.3:

ingrese la descripción de la imagen aquí

La tabla de enrutamiento \\speedermuestra las múltiples direcciones IP que le hemos asignado:

ingrese la descripción de la imagen aquí

Después de conectarse con el cliente Cisco AnyConnect VPN:

ingrese la descripción de la imagen aquí

ya no podemos hacer ping \\speeder:

ingrese la descripción de la imagen aquí

Y aunque hay nuevas entradas de enrutamiento para el adaptador Cisco VPN, no se modificaron las entradas de enrutamiento existentes después de la conexión:

ingrese la descripción de la imagen aquí

Es de esperar que no podamos hacer ping a la dirección IP de Speeder en el adaptador Cisco VPN (192.168.199.20) porque está en una subred diferente a nuestra red (estamos 10.0.xx 255.255.0.0), es decir:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

El problema que estamos experimentando es que no podemos hacer ping a las direcciones IP existentes en \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

etc.

Lo interesante, y podría proporcionar una pista, es que hay una dirección con la que podemos comunicarnos:

ingrese la descripción de la imagen aquí

Esta dirección podemos hacer ping y comunicarnos con:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

Lo que hace esta una dirección IP especial? Esta dirección IP tiene la virtud de ser una dirección "principal":

ingrese la descripción de la imagen aquí

A diferencia de las direcciones que utilizamos, que son direcciones "adicionales":

ingrese la descripción de la imagen aquí

En resumen, cuando el cliente Cisco AnyConnect VPN se conecta, nos bloquea de todas las direcciones asociadas a la computadora.

Necesitamos que el cliente de Cisco deje de hacerlo.

¿Alguien sabe cómo hacer que el cliente VPN SSL de Cisco AnyConnect deje de hacerlo?

Nota : Firepass SSL VPN de F5 Networks no sufre el mismo problema.

Nos hemos puesto en contacto con Cisco y nos dicen que esta configuración no es compatible.

Ian Boyd
fuente

Respuestas:

1

Informé de Cisco Bug ID CSCts12090 (requiere CCO) a Cisco hace unas semanas. Acabo de comenzar a usar AnyConnect hace unos 6 meses y solo he usado la versión 3.0 y posteriores. Parece que está utilizando una versión anterior a la 3.0.

De todos modos, el error que informé es muy similar (pero peor). AnyConnect no puede conectarse con éxito cuando se asignan varias IP a la NIC local en ciertos casos. Consulte el informe completo de errores vinculado anteriormente para obtener detalles completos. Fue un error confirmado y se solucionará en AC 3.1. AC 3.1 promete, como me han dicho, ser una reescritura bastante grande del código de actualización de la tabla de enrutamiento local que solucionará esto y un montón de otras peculiaridades con AC.

Si bien el problema que está experimentando no es exactamente como el que informé en CSCts12090, es inquietantemente similar.

Tejedor
fuente
... errrily similar; y tal vez podría arreglarse con la reescritura.
Ian Boyd
1

El adaptador Cisco VPN es especial, en el modo "predeterminado", está diseñado para enviar hasta el último bit de tráfico de red a través del enlace del túnel. Reflejé esa configuración para probar, y un túnel normal en realidad ni siquiera me permitía hacer ping a la dirección principal de la interfaz local.

Sin embargo, con un túnel dividido, donde el adaptador VPN maneja el tráfico solo para redes específicas, parece estar funcionando muy bien para direcciones secundarias.

Si puede, cambie la configuración de la conexión para que sea un túnel dividido; Si su punto final es un ASA, será split-tunnel-policyy los split-tunnel-network-listcomandos en el relevante group-policy.

Shane Madden
fuente
1
Esa era la terminología, "túnel dividido", de lo que estaba habilitado en el servidor; Y no cambió. (" El token RSA para el perfil SSL_Vendor ahora tiene habilitado el túnel dividido. Esto debería permitir a los proveedores acceder a su LAN local cuando están conectados ") Permitió que la LAN local acceda a la máquina cliente vpn en la IP "principal" (mientras que antes no pudimos), pero no permitía conexiones a las máquinas cliente vpn a través de otras direcciones IP.
Ian Boyd