Cisco SSL VPN(\\speeder
)経由で接続するためのマシンがあります。
10.0.0.3
でspeeder
をpingできます:
\\speeder
のルーティングテーブルには、割り当てた複数のIPアドレスが表示されます。
Cisco AnyConnect VPNクライアントに接続した後:
pingできなくなりました\\speeder
:
また、Cisco VPNアダプタの新しいルーティングエントリが存在する一方で、既存のルーティングエントリは接続後に変更されていません。
SpeederのIPアドレスCisco VPNアダプター上(192.168.199.20)はpingできないことが予想されます。これは、ネットワークとは別のサブネット(10.0.xx 255.255.0.0)にあるためです。 :
C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.
発生している問題は、pingできないことです既存\\speeder
のIPアドレス:
C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.
C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.
C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.
等
興味深いのは、手掛かりになるかもしれませんが、通信できるoneアドレスがあることです。
このアドレスはcan pingして通信します。
C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128
one IPアドレスが特別な理由は何ですか?この1つのIPアドレスには、「メイン」アドレスであるという利点があります。
私たちが使用するアドレスとは対照的に、これらは「追加の」アドレスです。
要約すると、Cisco AnyConnect VPNクライアントが接続すると、コンピュータに関連付けられている1つを除くすべてのアドレスからブロックされます。
それをやめるにはCiscoクライアントが必要です。
Cisco AnyConnect SSL VPNクライアントがそれをやめる方法を誰かが知っていますか?
Note: Firepass SSL VPN F5 Networksの同じ問題は発生しません。
シスコに問い合わせたところ、この構成はサポートされていないとのことです。
数週間前にシスコバグID CSCts1209 (CCOが必要)をシスコに報告しました。約6か月前にAnyConnectを使い始めたばかりで、バージョン3.0以降しか使用していません。 3.0より前のバージョンを使用しているようです。
とにかく、私が報告したバグは非常によく似ています(ただし悪い)。ローカルに複数のIPが割り当てられている場合、AnyConnectは正常に接続できませんNIC特定の場合。前にリンクされた完全なバグレポートで詳細を確認してください。これは確認済みのバグであり、修正される予定ですAC 3.1では、AC 3.1は、これまで修正されたローカルルーティングテーブルの更新コードのかなり大きな書き直しになることを約束しました。これは、ACに関する他の多くの癖です。
発生している問題は、CSCts12090で報告した問題とまったく同じではありませんが、不気味に似ています。
Cisco VPNアダプタは特別です。「デフォルト」モードでは、ネットワークトラフィックのすべての最後のビットをトンネルのリンクを介して送信するように設計されています。テストのためにその構成をミラーリングしましたが、通常のトンネルでは実際にはローカルインターフェイスのプライマリアドレスにpingすることさえできませんでした。
ただし、スプリットトンネルを使用すると、VPNアダプターは指定されたネットワークのトラフィックのみを処理するため、セカンダリアドレスには非常に効果的です。
可能であれば、接続の構成を分割トンネルに変更してください。エンドポイントがASAの場合、関連するsplit-tunnel-policy
のsplit-tunnel-network-list
およびgroup-policy
コマンドになります。