Cisco AnyConnect SSL VPN 客戶端允許本地 LAN 訪問,但不能在其他多宿主伺服器上
我們有一台通過 Cisco SSL VPN (
\\speeder
) 連接的機器。我可以 ping 我們
speeder
的10.0.0.3
:上的路由表
\\speeder
顯示了我們分配給它的多個 IP 地址:與 Cisco AnyConnect VPN 客戶端連接後:
我們不能再 ping
\\speeder
:雖然 Cisco VPN 適配器有新的路由條目,但在連接後沒有修改現有的路由條目:
可以預料,我們無法在 Cisco VPN 適配器(192.168.199.20) 上 ping Speeder 的 IP 地址,因為它與我們的網路位於不同的子網上(我們是 10.0.xx 255.255.0.0),即:
C:\Users\ian.AVATOPIA>ping 192.168.199.20 Pinging 192.168.199.20 with 32 bytes of data: Request timed out.
我們遇到的問題是我們無法 ping現有IP 地址
\\speeder
:C:\Users\ian.AVATOPIA>ping 10.0.1.17 Pinging 10.0.1.17 with 32 bytes of data: Request timed out. C:\Users\ian.AVATOPIA>ping 10.0.1.22 Pinging 10.0.1.22 with 32 bytes of data: Request timed out. C:\Users\ian.AVATOPIA>ping 10.0.1.108 Pinging 10.0.1.108 with 32 bytes of data: Request timed out.
ETC
有趣且可能提供線索的是,我們可以與一個地址進行通信:
這個地址我們可以ping通並與之通信:
C:\Users\ian.AVATOPIA>ping 10.0.1.4 Pinging 10.0.1.4 with 32 bytes of data: Reply from 10.0.1.4: bytes=32 time<1ms TTL=128
是什麼讓這個IP地址如此特別?這個 IP 地址具有作為“主”地址的優點:
與我們使用的地址相反,它們是“附加”地址:
總而言之,當 Cisco AnyConnect VPN 客戶端連接時,它會阻止我們訪問與電腦關聯的唯一地址。
我們需要 Cisco 客戶端停止這樣做。
有誰知道如何讓 Cisco AnyConnect SSL VPN 客戶端停止這樣做?
注意:來自 F5 Networks 的Firepass SSL VPN不會遇到同樣的問題。
我們聯繫了 Cisco,他們說不支持此配置。
幾週前,我向 Cisco 報告了 Cisco Bug ID CSCts12090(需要 CCO)。我大約 6 個月前才開始使用 AnyConnect,並且只使用了 3.0 及更高版本。看起來您使用的是早於 3.0 的版本。
無論如何,我報告的錯誤非常相似(但更糟)。在某些情況下,當多個 IP 分配給本地 NIC 時,AnyConnect 無法成功連接。有關完整詳細資訊,請參閱前面連結的完整錯誤報告。這是一個已確認的錯誤,將在 AC 3.1 中修復。正如我被告知的那樣,AC 3.1 承諾對本地路由表更新程式碼進行相當大的重寫,這將解決這個問題以及 AC 的許多其他怪癖。
雖然您遇到的問題與我在 CSCts12090 中報告的問題不完全相同,但它非常相似。