Túnel dividido y Cisco AnyConnect

14

Estoy usando Cisco AnyConnect Secure Mobility Client 3.1.02026 en Windows 7 de 64 bits. He oído que hay una casilla de verificación que permite el túnel dividido. Sin embargo, esta casilla de verificación se elimina de la GUI probablemente debido a la configuración del administrador. El administrador no quiere hacer ningún cambio de configuración. Me gustaría forzar el túnel dividido. ¿Cómo? Está bien si la solución usa un cliente VPN diferente. La solución no puede realizar ningún cambio en el servidor VPN. He probado una máquina virtual y funciona, pero me gustaría una solución más conveniente. He intentado jugar con la tabla de rutas pero fallé probablemente debido a la falta de saber cómo hacerlo correctamente.

Aquí está mi route printantes de conectarse a la VPN.

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Aquí está mi route printdespués de conectarse a la VPN.

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
Nathan
fuente

Respuestas:

7

Primero, comprenda que la razón por la cual los administradores de su red no permitieron el túnel dividido es porque potencialmente permite que cualquier persona / código malicioso eluda las medidas de seguridad que se han implementado al acceder a la red a través de su computadora. Créeme, sé que no tener un túnel dividido es molesto, pero pregúntate: ¿vale la pena el riesgo?

Ahora que las advertencias están fuera del camino, puedo decirle que Cisco AnyConnect evita un túnel dividido al reescribir temporalmente la tabla de enrutamiento de la computadora host. Úselo route printantes de iniciar AnyConnect y úselo nuevamente después para ver las diferencias. Puede escribir una secuencia de comandos para ajustar la tabla de enrutamiento y ejecutarla después de iniciar AnyConnect. Una solución más fácil que probablemente no viole su política de uso de redes es simplemente usar una VM con AnyConnect. La NIC de tu host no se bloquea y no rompes ninguna regla ... lo mejor de ambos mundos.

ubiquibacon
fuente
44
Cisco AnyConnect impide que funcionen los ajustes de ruta en Windows.
Nathan
0

No he descubierto cómo dividir el túnel con Cisco AnyConnect. Aquí está mi trabajo.

Intenté usar VPNC Front End pero un mensaje de error genérico me impidió corregir la configuración de conexión. Necesitaba agregar "Versión de aplicación Cisco Systems VPN Client 4.8.01 (0640): Linux" en default.conf. Además, una vez que se estableció la conexión, no pude acceder a nada en la LAN remota. Necesitaba crear un archivo por lotes que agregara rutas para las direcciones IP remotas de la LAN (por ejemplo route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180). El mismo archivo por lotes también tuvo que configurarse para usar los servidores DNS de la LAN remota primero antes que los servidores DNS de mi ISP (p. Ej.netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1 )

Para obtener un mensaje de error más detallado, seguí las instrucciones en BMC . Tuve que instalar paquetes adicionales: Net openssl, Devel Libs openssl-devel e Intérpretes perl.

Nathan
fuente