Ssl

Cisco AnyConnect SSL VPN 客戶端允許本地 LAN 訪問,但不能在其他多宿主伺服器上

  • September 13, 2018

我們有一台通過 Cisco SSL VPN ( \\speeder) 連接的機器。

我可以 ping 我們speeder10.0.0.3

在此處輸入圖像描述

上的路由表\\speeder顯示了我們分配給它的多個 IP 地址:

在此處輸入圖像描述

與 Cisco AnyConnect VPN 客戶端連接後:

在此處輸入圖像描述

我們不能再 ping \\speeder

在此處輸入圖像描述

雖然 Cisco VPN 適配器有新的路由條目,但在連接後沒有修改現有的路由條目:

在此處輸入圖像描述

可以預料,我們無法在 Cisco VPN 適配器(192.168.199.20) 上 ping Speeder 的 IP 地址,因為它與我們的網路位於不同的子網上(我們是 10.0.xx 255.255.0.0),即:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

我們遇到的問題是我們無法 ping現有IP 地址\\speeder

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

ETC

有趣且可能提供線索的是,我們可以與一個地址進行通信:

在此處輸入圖像描述

這個地址我們可以ping通並與之通信:

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

是什麼讓這個IP地址如此特別?這個 IP 地址具有作為“主”地址的優點:

在此處輸入圖像描述

與我們使用的地址相反,它們是“附加”地址:

在此處輸入圖像描述

總而言之,當 Cisco AnyConnect VPN 客戶端連接時,它會阻止我們訪問與電腦關聯的唯一地址。

我們需要 Cisco 客戶端停止這樣做。

有誰知道如何讓 Cisco AnyConnect SSL VPN 客戶端停止這樣做?

注意:來自 F5 Networks 的Firepass SSL VPN不會遇到同樣的問題。

我們聯繫了 Cisco,他們說不支持此配置。

幾週前,我向 Cisco 報告了 Cisco Bug ID CSCts12090(需要 CCO)。我大約 6 個月前才開始使用 AnyConnect,並且只使用了 3.0 及更高版本。看起來您使用的是早於 3.0 的版本。

無論如何,我報告的錯誤非常相似(但更糟)。在某些情況下,當多個 IP 分配給本地 NIC 時,AnyConnect 無法成功連接。有關完整詳細資訊,請參閱前面連結的完整錯誤報告。這是一個已確認的錯誤,將在 AC 3.1 中修復。正如我被告知的那樣,AC 3.1 承諾對本地路由表更新程式碼進行相當大的重寫,這將解決這個問題以及 AC 的許多其他怪癖。

雖然您遇到的問題與我在 CSCts12090 中報告的問題不完全相同,但它非常相似。

引用自:https://serverfault.com/questions/307602