Cisco AnyConnectセキュアモビリティクライアントv。3.0.4235によるLANアクセス
Cisco AnyConnectセキュアモビリティクライアントv。3.0.4235を使用してVPNサーバーに接続するたびに(おそらく他のバージョンでも)、LANにアクセスできなくなります。 AnyConnectが削除するルートを手動で追加して、これを修正したいと思います。
以下は、私のセットアップ、接続の前後のルートです。 2つの物理NICを備えたマシンがあります。
NIC1インターネットへのゲートウェイ
Address 10.191.244.10
Mask 255.255.255.0
Gateway: 10.191.244.1
NIC2
Address 172.16.97.1
Mask 255.255.0.0
Gateway: N/A
NIC2に接続されたデバイス
Address 192.16.97.2
Mask 255.255.0.0
Gateway: N/A
編集: VPN接続とLAN接続が同じ物理NIC /リンク上になく、2つのNICが同じネットワークに接続していないことに注意してください(1つは10.191.244.0/24に接続し、もう一方は172.16.97.0/20です)。
VPNに接続する前のルートとARPテーブル
===========================================================================
Interface List
15...52 54 00 c3 42 45 ......Red Hat VirtIO Ethernet Adapter #2
14...52 54 00 f4 a4 80 ......Red Hat VirtIO Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
10.191.244.0 255.255.255.0 On-link 10.191.244.11 261
10.191.244.11 255.255.255.255 On-link 10.191.244.11 261
10.191.244.255 255.255.255.255 On-link 10.191.244.11 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 On-link 172.16.97.1 261
172.16.97.1 255.255.255.255 On-link 172.16.97.1 261
172.16.255.255 255.255.255.255 On-link 172.16.97.1 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.191.244.11 261
224.0.0.0 240.0.0.0 On-link 172.16.97.1 261
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.191.244.11 261
255.255.255.255 255.255.255.255 On-link 172.16.97.1 261
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.191.244.1 Default
===========================================================================
## ARP ##
Interface: 10.191.244.11 --- 0xe
Internet Address Physical Address Type
10.191.244.1 c4-05-28-c9-fd-63 dynamic
10.191.244.20 00-c0-3d-00-53-0d dynamic
10.191.244.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Interface: 172.16.97.1 --- 0xf
Internet Address Physical Address Type
172.16.97.2 00-80-2f-17-26-06 dynamic
172.16.97.3 00-80-2f-17-6a-44 dynamic
172.16.255.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
VPNへの接続後のルートとARP
===========================================================================
Interface List
16...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
15...52 54 00 c3 42 45 ......Red Hat VirtIO Ethernet Adapter #2
14...52 54 00 f4 a4 80 ......Red Hat VirtIO Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
0.0.0.0 0.0.0.0 192.168.220.1 192.168.221.131 2
10.191.244.11 255.255.255.255 On-link 10.191.244.11 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.97.1 255.255.255.255 On-link 172.16.97.1 261
192.168.220.0 255.255.254.0 On-link 192.168.221.131 257
192.168.221.131 255.255.255.255 On-link 192.168.221.131 257
192.168.221.255 255.255.255.255 On-link 192.168.221.131 257
193.28.147.7 255.255.255.255 10.191.244.1 10.191.244.11 6
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.191.244.11 261
224.0.0.0 240.0.0.0 On-link 172.16.97.1 261
224.0.0.0 240.0.0.0 On-link 192.168.221.131 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.191.244.11 261
255.255.255.255 255.255.255.255 On-link 172.16.97.1 261
255.255.255.255 255.255.255.255 On-link 192.168.221.131 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.191.244.1 Default
0.0.0.0 0.0.0.0 192.168.220.1 1
===========================================================================
## ARP ##
Interface: 10.191.244.11 --- 0xe
Internet Address Physical Address Type
10.191.244.1 c4-05-28-c9-fd-63 dynamic
10.191.244.20 00-c0-3d-00-53-0d dynamic
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Interface: 172.16.97.1 --- 0xf
Internet Address Physical Address Type
172.16.97.2 00-80-2f-17-26-06 dynamic
172.16.97.3 00-80-2f-17-6a-44 dynamic
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Interface: 192.168.221.131 --- 0x10
Internet Address Physical Address Type
192.168.220.1 00-11-22-33-44-55 dynamic
192.168.221.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
ルートの前後の違いは、AnyConnectが172.16.0.0ネットワークへのルートを削除したことを示しています。
追加してみます
route ADD 172.16.0.0 MASK 255.255.0.0 172.16.97.1
ルートユーティリティは「OK!」を返します/出力しますが、ルートはルーティングテーブルに表示されません。昇格した特権でルートユーティリティを実行します。 AnyConnectは新しいルートの追加をブロックできますか?
(クライアント)側でこの問題を回避する方法はありますか? VPNサーバーの構成は簡単には変更できません。
私は自分の問題の解決策を見つけました。私は、シスコのクライアントの代わりにOpenConnectを使用しました。
OpenConnect( http://www.infradead.org/openconnect/ )は、シスコAnyConnect SSL VPNのオープンソースクライアントです。 、GnuTLSとOpenSSLを中心に構築します。 BSD、Linux、Mac、Windowsで動作します。
私にとっては、Linux(Ubuntu 14、パッケージnetwork-manager-openconnectを使用)およびWindows(Win7 64ビット、 http://www.infradead.org/openconnect/gui.html / https://github.com/openconnect/openconnect-gui/wiki )。
以下は、OpenConnectによるVPN接続の前後のルートです。 172.16.0.0ルートが削除されたAnyConnectのケースとは対照的です。
VPNリソースとローカルLAN(特に、172.16.97.2のネットワーク接続のサンプリングデバイス)にアクセスできるようになりました。
OpenConnect接続前のルート:
===========================================================================
Interface List
20...00 ff 08 2c e8 75 ......TAP-Windows Adapter V9
15...52 54 00 c3 42 45 ......Red Hat VirtIO Ethernet Adapter #2
14...52 54 00 f4 a4 80 ......Red Hat VirtIO Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
10.191.244.0 255.255.255.0 On-link 10.191.244.11 261
10.191.244.11 255.255.255.255 On-link 10.191.244.11 261
10.191.244.255 255.255.255.255 On-link 10.191.244.11 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 On-link 172.16.97.1 261
172.16.97.1 255.255.255.255 On-link 172.16.97.1 261
172.16.255.255 255.255.255.255 On-link 172.16.97.1 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.191.244.11 261
224.0.0.0 240.0.0.0 On-link 172.16.97.1 261
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.191.244.11 261
255.255.255.255 255.255.255.255 On-link 172.16.97.1 261
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.220.1 1
0.0.0.0 0.0.0.0 10.191.244.1 Default
===========================================================================
Openconnect接続後のルート:
===========================================================================
Interface List
20...00 ff 08 2c e8 75 ......TAP-Windows Adapter V9
15...52 54 00 c3 42 45 ......Red Hat VirtIO Ethernet Adapter #2
14...52 54 00 f4 a4 80 ......Red Hat VirtIO Ethernet Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
0.0.0.0 0.0.0.0 192.168.220.1 192.168.221.140 2
10.191.244.0 255.255.255.0 On-link 10.191.244.11 261
10.191.244.11 255.255.255.255 On-link 10.191.244.11 261
10.191.244.255 255.255.255.255 On-link 10.191.244.11 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 On-link 172.16.97.1 261
172.16.97.1 255.255.255.255 On-link 172.16.97.1 261
172.16.255.255 255.255.255.255 On-link 172.16.97.1 261
192.168.220.0 255.255.254.0 On-link 192.168.221.140 257
192.168.221.140 255.255.255.255 On-link 192.168.221.140 257
192.168.221.255 255.255.255.255 On-link 192.168.221.140 257
193.28.147.7 255.255.255.255 10.191.244.1 10.191.244.11 6
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.191.244.11 261
224.0.0.0 240.0.0.0 On-link 172.16.97.1 261
224.0.0.0 240.0.0.0 On-link 192.168.221.140 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.191.244.11 261
255.255.255.255 255.255.255.255 On-link 172.16.97.1 261
255.255.255.255 255.255.255.255 On-link 192.168.221.140 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.191.244.1 Default
0.0.0.0 0.0.0.0 192.168.220.1 1
===========================================================================
VPN管理者は、VPNコンセントレータ側からスプリットトンネリングを有効または無効にできます。 VPNに接続しているときにローカルマシンのゲートウェイをいじる場合でも、Ciscoクライアントは、ポリシーがオフィスのエンドポイントから行うように指示していることをすべて実行していると思います。
それについてVPN管理者に尋ねてください...彼/彼女はそれがなぜそれがそうであるようにセットアップされたのかについてあなたに耳を傾けて喜んであなたに喜んでくれるでしょう。 :)
これはおそらく、最もよく尋ねられるVPNアクセスに関する質問です。
簡単に言うと、VPN構成でスプリットトンネリングが有効になっていないようです。
したがって、VPNに接続すると、2つのデフォルトゲートウェイができます。
0.0.0.0 0.0.0.0 10.191.244.1 10.191.244.11 261
0.0.0.0 0.0.0.0 192.168.220.1 192.168.221.131 2
スプリットトンネリングなしでVPNアクセスを設定する場合、基本的にはVPNクライアントにすべてのトラフィックをVPNエンドポイント経由でルーティングするように要求します。
これが、LANへのアクセスを「緩める」理由です。