Estoy usando Cisco AnyConnect Secure Mobility Client 3.1.02026 en Windows 7 de 64 bits. He oído que hay una casilla de verificación que permite el túnel dividido. Sin embargo, esta casilla de verificación se elimina de la GUI probablemente debido a la configuración del administrador. El administrador no quiere hacer ningún cambio de configuración. Me gustaría forzar el túnel dividido. ¿Cómo? Está bien si la solución usa un cliente VPN diferente. La solución no puede realizar ningún cambio en el servidor VPN. He probado una máquina virtual y funciona, pero me gustaría una solución más conveniente. He intentado jugar con la tabla de rutas pero fallé probablemente debido a la falta de saber cómo hacerlo correctamente.
Aquí está mi route print
antes de conectarse a la VPN.
===========================================================================
Interface List
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 11
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.0 255.255.255.0 On-link 192.168.1.3 266
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
192.168.1.255 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
27 58 ::/0 On-link
1 306 ::1/128 On-link
27 58 2001::/32 On-link
27 306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
On-link
14 266 fe80::/64 On-link
27 306 fe80::/64 On-link
27 306 fe80::3431:3b25:b736:1859/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
1 306 ff00::/8 On-link
27 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Aquí está mi route print
después de conectarse a la VPN.
===========================================================================
Interface List
19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
0.0.0.0 0.0.0.0 10.154.128.1 10.154.159.8 2
10.154.128.0 255.255.224.0 On-link 10.154.159.8 257
10.154.159.8 255.255.255.255 On-link 10.154.159.8 257
10.154.159.255 255.255.255.255 On-link 10.154.159.8 257
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
137.254.4.91 255.255.255.255 192.168.1.1 192.168.1.3 11
169.254.0.0 255.255.0.0 On-link 10.154.159.8 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 306
169.254.255.255 255.255.255.255 On-link 10.154.159.8 257
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.1 255.255.255.255 On-link 192.168.1.3 11
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 10.154.159.8 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 10.154.159.8 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
19 11 ::/0 On-link
1 306 ::1/128 On-link
19 266 fe80::/64 On-link
19 266 fe80::2a78:5341:7450:2bc1/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
19 266 fe80::c12f:601f:cdf:4304/128
On-link
19 266 fe80::c5c3:8e03:b9dd:7df5/128
On-link
1 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
fuente
Respuestas:
Primero, comprenda que la razón por la cual los administradores de su red no permitieron el túnel dividido es porque potencialmente permite que cualquier persona / código malicioso eluda las medidas de seguridad que se han implementado al acceder a la red a través de su computadora. Créeme, sé que no tener un túnel dividido es molesto, pero pregúntate: ¿vale la pena el riesgo?
Ahora que las advertencias están fuera del camino, puedo decirle que Cisco AnyConnect evita un túnel dividido al reescribir temporalmente la tabla de enrutamiento de la computadora host. Úselo
route print
antes de iniciar AnyConnect y úselo nuevamente después para ver las diferencias. Puede escribir una secuencia de comandos para ajustar la tabla de enrutamiento y ejecutarla después de iniciar AnyConnect. Una solución más fácil que probablemente no viole su política de uso de redes es simplemente usar una VM con AnyConnect. La NIC de tu host no se bloquea y no rompes ninguna regla ... lo mejor de ambos mundos.fuente
No he descubierto cómo dividir el túnel con Cisco AnyConnect. Aquí está mi trabajo.
Intenté usar VPNC Front End pero un mensaje de error genérico me impidió corregir la configuración de conexión. Necesitaba agregar "Versión de aplicación Cisco Systems VPN Client 4.8.01 (0640): Linux" en default.conf. Además, una vez que se estableció la conexión, no pude acceder a nada en la LAN remota. Necesitaba crear un archivo por lotes que agregara rutas para las direcciones IP remotas de la LAN (por ejemplo
route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180
). El mismo archivo por lotes también tuvo que configurarse para usar los servidores DNS de la LAN remota primero antes que los servidores DNS de mi ISP (p. Ej.netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1
)Para obtener un mensaje de error más detallado, seguí las instrucciones en BMC . Tuve que instalar paquetes adicionales: Net openssl, Devel Libs openssl-devel e Intérpretes perl.
fuente
Aunque esto no ayudará a alguien que esté tratando de sortear la seguridad colocada en el ASA por un administrador, para alguien que ES un administrador de ASA, Cisco tiene este artículo, sobre cómo configurar el ASA y Anyconnect con acceso de túnel dividido:
Configure AnyConnect Secure Mobility Client con túnel dividido en un ASA
fuente