Split-Tunnel und Cisco AnyConnect

14953
Nathan

Ich verwende den Cisco AnyConnect Secure Mobility Client 3.1.02026 unter Windows 7 64-Bit. Ich habe gehört, dass es eine Checkbox gibt, die Split-Tunneling ermöglicht. Dieses Kontrollkästchen wird jedoch wahrscheinlich aufgrund der Einstellungen des Administrators aus der GUI entfernt. Der Administrator möchte keine Konfigurationsänderungen vornehmen. Ich möchte Split-Tunneling erzwingen. Wie? Es ist in Ordnung, wenn die Lösung einen anderen VPN-Client verwendet. Die Lösung kann keine Änderungen am VPN-Server vornehmen. Ich habe eine virtuelle Maschine ausprobiert und sie funktioniert, aber ich hätte gerne eine bequemere Lösung. Ich habe versucht, mit der Routentabelle herumzuspielen, aber ich scheiterte wahrscheinlich daran, dass ich nicht wusste, wie man es richtig macht.

Hier meine route printvor dem Verbindungsaufbau zum VPN.

=========================================================================== Interface List 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection 1...........................Software Loopback Interface 1 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface ===========================================================================  IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 169.254.0.0 255.255.0.0 On-link 192.168.1.3 11 169.254.255.255 255.255.255.255 On-link 192.168.1.3 266 192.168.1.0 255.255.255.0 On-link 192.168.1.3 266 192.168.1.3 255.255.255.255 On-link 192.168.1.3 266 192.168.1.255 255.255.255.255 On-link 192.168.1.3 266 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.3 266 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.3 266 =========================================================================== Persistent Routes: Network Address Netmask Gateway Address Metric 169.254.0.0 255.255.0.0 192.168.1.3 1 0.0.0.0 0.0.0.0 10.154.128.1 1 ===========================================================================  IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 27 58 ::/0 On-link 1 306 ::1/128 On-link 27 58 2001::/32 On-link 27 306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128 On-link 14 266 fe80::/64 On-link 27 306 fe80::/64 On-link 27 306 fe80::3431:3b25:b736:1859/128 On-link 14 266 fe80::3933:bb6f:892:d161/128 On-link 1 306 ff00::/8 On-link 27 306 ff00::/8 On-link 14 266 ff00::/8 On-link =========================================================================== Persistent Routes: None

Hier ist mein route printAnschluss an das VPN.

=========================================================================== Interface List 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection 1...........................Software Loopback Interface 1 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3 ===========================================================================  IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10 0.0.0.0 0.0.0.0 10.154.128.1 10.154.159.8 2 10.154.128.0 255.255.224.0 On-link 10.154.159.8 257 10.154.159.8 255.255.255.255 On-link 10.154.159.8 257 10.154.159.255 255.255.255.255 On-link 10.154.159.8 257 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 137.254.4.91 255.255.255.255 192.168.1.1 192.168.1.3 11 169.254.0.0 255.255.0.0 On-link 10.154.159.8 306 169.254.0.0 255.255.0.0 On-link 192.168.1.3 306 169.254.255.255 255.255.255.255 On-link 10.154.159.8 257 169.254.255.255 255.255.255.255 On-link 192.168.1.3 266 192.168.1.1 255.255.255.255 On-link 192.168.1.3 11 192.168.1.3 255.255.255.255 On-link 192.168.1.3 266 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.3 266 224.0.0.0 240.0.0.0 On-link 10.154.159.8 257 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.3 266 255.255.255.255 255.255.255.255 On-link 10.154.159.8 257 =========================================================================== Persistent Routes: Network Address Netmask Gateway Address Metric 169.254.0.0 255.255.0.0 192.168.1.3 1 0.0.0.0 0.0.0.0 10.154.128.1 1 ===========================================================================  IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 19 11 ::/0 On-link 1 306 ::1/128 On-link 19 266 fe80::/64 On-link 19 266 fe80::2a78:5341:7450:2bc1/128 On-link 14 266 fe80::3933:bb6f:892:d161/128 On-link 19 266 fe80::c12f:601f:cdf:4304/128 On-link 19 266 fe80::c5c3:8e03:b9dd:7df5/128 On-link 1 306 ff00::/8 On-link 14 266 ff00::/8 On-link =========================================================================== Persistent Routes: None
12
Verwandte Themen: http://superuser.com/questions/284709/wie-zu-flachen-lokale-lan-zugriffs-dieser-verbunden-nach-cisco-vpn Vadzim vor 8 Jahren 0

3 Antworten auf die Frage

4
ubiquibacon

Verstehen Sie zunächst, dass der Grund, warum Ihre Netzwerkadministratoren das Split-Tunneling nicht zugelassen haben, darin liegt, dass potenziell böswillige Personen / Code möglicherweise die Sicherheitsmaßnahmen umgehen, die durch den Zugriff auf das Netzwerk über Ihren Computer implementiert wurden. Glauben Sie mir, dass ich weiß, dass es nicht lästig ist, einen Split-Tunnel zu haben, aber fragen Sie sich, ob es das Risiko wert ist?

Nun, da Warnungen nicht mehr verfügbar sind, kann ich Ihnen sagen, dass Cisco AnyConnect einen Split-Tunnel verhindert, indem er die Routingtabelle des Host-Computers vorübergehend neu schreibt. Verwenden Sie, route printbevor Sie AnyConnect starten und verwenden Sie es wieder nach die Unterschiede zu sehen. Sie können ein Skript zum Anpassen der Routingtabelle schreiben und nach dem Starten von AnyConnect ausführen. Eine einfachere Lösung, die wahrscheinlich nicht gegen Ihre Nutzungsrichtlinien für Netzwerke verstößt, ist die Verwendung einer VM mit AnyConnect. Die Netzwerkkarte Ihres Hosts wird nicht gesperrt, und Sie verstoßen nicht gegen Regeln ... das Beste aus beiden Welten.

Cisco AnyConnect verhindert, dass Routenanpassungen unter Windows funktionieren. Nathan vor 11 Jahren 4
0
Nathan

Ich habe nicht herausgefunden, wie man mit Cisco AnyConnect den Tunnel aufteilt. Hier ist meine Arbeit.

Ich habe versucht, VPNC Front End zu verwenden, aber eine generische Fehlermeldung hinderte mich daran, die Verbindungseinstellungen zu korrigieren. Ich musste "Anwendungsversion Cisco Systems VPN Client 4.8.01 (0640): Linux" in default.conf hinzufügen. Sobald die Verbindung hergestellt wurde, konnte ich auch im Remote-LAN nicht auf etwas zugreifen. Ich musste eine Batchdatei erstellen, die Routen für die Remote-LAN-IP-Adressen hinzufügte (z route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180. B. ). Dieselbe Batchdatei musste auch so konfiguriert werden, dass die DNS-Server des Remote-LANs verwendet werden, bevor die DNS-Server meines ISP (z. B. netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)

Um eine detailliertere Fehlermeldung zu erhalten, habe ich die Anweisungen in BMC befolgt . Ich musste zusätzliche Pakete installieren: Net openssl, Devel Libs openssl-devel und Interpreters perl.

0
MarkL

Obwohl dies niemandem helfen kann, der versucht, die Sicherheit eines ASA-Administrators zu umgehen, hat Cisco für diesen ASA-Administrator in diesem Artikel folgende Informationen zum Einrichten von ASA und Anyconnect mit Split-Tunnel-Zugriff:

Konfigurieren Sie den AnyConnect Secure Mobility Client mit Split-Tunneling auf einem ASA

Verwandte Probleme