web-dev-qa-db-ja.com

Cisco AnyConnect SSL VPNクライアントはローカルLANアクセスを許可しますが、追加のマルチホームサーバーでは許可しません

Cisco SSL VPN(\\speeder)経由で接続するためのマシンがあります。

10.0.0.3speederをpingできます:

enter image description here

\\speederのルーティングテーブルには、割り当てた複数のIPアドレスが表示されます。

enter image description here

Cisco AnyConnect VPNクライアントに接続した後:

enter image description here

pingできなくなりました\\speeder

enter image description here

また、Cisco VPNアダプタの新しいルーティングエントリが存在する一方で、既存のルーティングエントリは接続後に変更されていません。

enter image description here

SpeederのIPアドレスCisco VPNアダプター上(192.168.199.20)はpingできないことが予想されます。これは、ネットワークとは別のサブネット(10.0.xx 255.255.0.0)にあるためです。 :

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

発生している問題は、pingできないことです既存\\speederのIPアドレス:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

興味深いのは、手掛かりになるかもしれませんが、通信できるoneアドレスがあることです。

enter image description here

このアドレスはcan pingして通信します。

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

one IPアドレスが特別な理由は何ですか?この1つのIPアドレスには、「メイン」アドレスであるという利点があります。

enter image description here

私たちが使用するアドレスとは対照的に、これらは「追加の」アドレスです。

enter image description here

要約すると、Cisco AnyConnect VPNクライアントが接続すると、コンピュータに関連付けられている1つを除くすべてのアドレスからブロックされます。

それをやめるにはCiscoクライアントが必要です。

Cisco AnyConnect SSL VPNクライアントがそれをやめる方法を誰かが知っていますか?

NoteFirepass SSL VPN F5 Networksの同じ問題は発生しません。

シスコに問い合わせたところ、この構成はサポートされていないとのことです。

17
Ian Boyd

数週間前にシスコバグID CSCts1209 (CCOが必要)をシスコに報告しました。約6か月前にAnyConnectを使い始めたばかりで、バージョン3.0以降しか使用していません。 3.0より前のバージョンを使用しているようです。

とにかく、私が報告したバグは非常によく似ています(ただし悪い)。ローカルに複数のIPが割り当てられている場合、AnyConnectは正常に接続できませんNIC特定の場合。前にリンクされた完全なバグレポートで詳細を確認してください。これは確認済みのバグであり、修正される予定ですAC 3.1では、AC 3.1は、これまで修正されたローカルルーティングテーブルの更新コードのかなり大きな書き直しになることを約束しました。これは、ACに関する他の多くの癖です。

発生している問題は、CSCts12090で報告した問題とまったく同じではありませんが、不気味に似ています。

1
Weaver

Cisco VPNアダプタは特別です。「デフォルト」モードでは、ネットワークトラフィックのすべての最後のビットをトンネルのリンクを介して送信するように設計されています。テストのためにその構成をミラーリングしましたが、通常のトンネルでは実際にはローカルインターフェイスのプライマリアドレスにpingすることさえできませんでした。

ただし、スプリットトンネルを使用すると、VPNアダプターは指定されたネットワークのトラフィックのみを処理するため、セカンダリアドレスには非常に効果的です。

可能であれば、接続の構成を分割トンネルに変更してください。エンドポイントがASAの場合、関連するsplit-tunnel-policysplit-tunnel-network-listおよびgroup-policyコマンドになります。

1
Shane Madden