web-dev-qa-db-ja.com

スプリットトンネルとCisco AnyConnect

Windows 7 64ビットでCisco AnyConnectセキュアモビリティクライアント3.1.02026を使用しています。スプリットトンネリングを有効にするチェックボックスがあると聞きました。ただし、おそらく管理者の設定により、このチェックボックスはGUIから削除されています。管理者は、設定を変更したくありません。スプリットトンネリングを強制したいのですが。どうやって?ソリューションで別のVPNクライアントを使用しても問題ありません。ソリューションでは、VPNサーバーに変更を加えることはできません。仮想マシンを試してみましたが、機能しますが、もっと便利な解決策が欲しいです。ルートテーブルをいじくり回してみましたが、正しく実行する方法がわからないために失敗しました。

これが私のroute print VPNに接続する前。

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

これが私のroute print VPNに接続した後。

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
vpncisco-anyconnectsplit-tunnel
16
Nathan

まず、ネットワーク管理者がスプリットトンネリングを許可していない理由は、悪意のある人物/コードがコンピューターを介してネットワークにアクセスすることで実装されたセキュリティ対策を回避できる可能性があるためです。スプリットトンネルがないのは面倒なことだと私が信じているとは思いますが、リスクがあるので自分に尋ねてください。

これで警告が出なくなったので、Cisco AnyConnectはホストコンピュータのルーティングテーブルを一時的に書き換えてスプリットトンネルを防止しています。使用する route print AnyConnectを開始する前に、AnyConnectを使用して、違いを確認してください。スクリプトを記述してルーティングテーブルを調整し、AnyConnectの起動後に実行できます。ネットワーク使用ポリシーにおそらく違反しない簡単な解決策は、AnyConnectでVMを使用することです。ホストのNICはロックダウンされず、ルールを破らないでください。両方の長所があります。

8
ubiquibacon

Cisco AnyConnectでトンネルを分割する方法がわかりません。これが私の回避策です。

VPNCフロントエンドを使用しようとしましたが、一般的なエラーメッセージにより接続設定を修正できませんでした。 「アプリケーションバージョンCisco Systems VPN Client 4.8.01(0640):Linux」をdefault.confに追加する必要がありました。また、接続が確立されると、リモートLANの何にもアクセスできなくなりました。リモートLAN IPアドレスのルートを追加するバッチファイルを作成する必要がありました(例:route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180)。同じバッチファイルでも、ISPのDNSサーバーの前にリモートLANのDNSサーバーを使用するように構成する必要がありました(例:netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1

より詳細なエラーメッセージを取得するために、 [〜#〜] bmc [〜#〜] の指示に従いました。追加のパッケージをインストールする必要がありました:Net openssl、Devel Libs openssl-devel、Interpreters Perl。

0
Nathan

これは、管理者がASAに配置されたセキュリティを回避しようとしている人には役立ちませんが、IS ASA管理者である人には、ASAのセットアップとAnyconnectとスプリットトンネルアクセス:

ASAでのスプリットトンネリングを使用したAnyConnectセキュアモビリティクライアントの構成

0
MarkL