सिस्को AnyConnect SSL वीपीएन क्लाइंट स्थानीय लैन एक्सेस की अनुमति देता है, लेकिन अतिरिक्त मल्टी-होम सर्वर पर नहीं

हमारे पास सिस्को एसएसएल वीपीएन ( \\speeder) के माध्यम से कनेक्ट करने के लिए एक मशीन है ।

हम हमारे speederपर पिंग कर सकते हैं 10.0.0.3:

राउटिंग टेबल \\speederहमारे द्वारा निर्दिष्ट कई आईपी पते दिखाता है:

सिस्को AnyConnect वीपीएन ग्राहक के साथ कनेक्ट करने के बाद:

हम अब पिंग नहीं कर सकते हैं \\speeder:

और जब सिस्को वीपीएन एडॉप्टर के लिए नई रूटिंग एंट्री होती हैं, तो कनेक्शन के बाद कोई राउटिंग एंट्री संशोधित नहीं की गई:

यह उम्मीद की जानी चाहिए कि हम सिस्को वीपीएन एडॉप्टर (192.168.199.20) पर स्पीडर के आईपी पते को पिंग नहीं कर सकते क्योंकि यह हमारे नेटवर्क की तुलना में एक अलग सबनेट पर है (हम 10.0.xx 255.255.0.0 हैं), अर्थात:

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

हम जो समस्या अनुभव कर रहे हैं, वह यह है कि हम मौजूदा आईपी ​​पते को पिंग नहीं कर सकते हैं \\speeder:

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

आदि

क्या दिलचस्प है, और एक सुराग प्रदान कर सकता है, यह है कि एक पता है जिसे हम साथ संवाद कर सकते हैं:

यह पता हम पिंग और के साथ संवाद कर सकते हैं :

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

यह एक आईपी ​​पते को क्या खास बनाता है ? इस एक आईपी पते में "मुख्य" पता होने का गुण है:

जैसा कि हम उन पते का विरोध करते हैं, जो "अतिरिक्त" पते हैं:

संक्षेप में, जब सिस्को AnyConnect वीपीएन क्लाइंट कनेक्ट होता है, तो यह हमें कंप्यूटर से जुड़े सभी-लेकिन-एक पते से ब्लॉक करता है।

हमें ऐसा करने से रोकने के लिए सिस्को क्लाइंट की आवश्यकता है।

क्या किसी को पता है कि सिस्को AnyConnect SSL वीपीएन क्लाइंट को कैसे करना है?

नोट : F5 नेटवर्क से फायरपास SSL वीपीएन को एक ही समस्या नहीं है।

हमने सिस्को से संपर्क किया है, और वे कहते हैं कि यह कॉन्फ़िगरेशन समर्थित नहीं है।

मैंने कुछ सप्ताह पहले सिस्को बग आईडी CSCts12090 (CCO आवश्यक) की सूचना दी । मैंने अभी 6 महीने पहले AnyConnect का उपयोग शुरू किया था और केवल संस्करण 3.0 और ऊपर का उपयोग किया है। ऐसा लगता है कि आप 3.0 से पहले के संस्करण का उपयोग कर रहे हैं।

वैसे भी, मैंने जो बग की सूचना दी है, वह बहुत ही समान (लेकिन बदतर) है। जब कोई IP कुछ मामलों में स्थानीय NIC को असाइन किया जाता है, तो AnyConnect सफलतापूर्वक कनेक्ट करने में असमर्थ है। पूर्ण विवरण के लिए पहले पूरी बग रिपोर्ट देखें। यह एक पुष्ट बग था और एसी 3.1 में तय होने जा रहा है। AC 3.1 के वादे, जैसा कि मुझे बताया गया है, स्थानीय रूटिंग टेबल अपडेट कोड का एक बहुत बड़ा पुनर्लेखन है जो इसे ठीक करने जा रहा है और एसी के साथ अन्य quirks का एक धब्बा है।

जबकि आप जिस समस्या का सामना कर रहे हैं, वह बिल्कुल वैसा नहीं है जैसा मैंने CSCts12090 में बताया था, यह बिल्कुल वैसा ही है।

सिस्को वीपीएन एडॉप्टर विशेष है, "डिफ़ॉल्ट" मोड में, यह सुरंग के लिंक पर नेटवर्क ट्रैफ़िक के हर अंतिम बिट को भेजने के लिए डिज़ाइन किया गया है। मैंने परीक्षण के लिए उस कॉन्फ़िगरेशन को प्रतिबिंबित किया, और एक सामान्य सुरंग ने वास्तव में मुझे स्थानीय इंटरफ़ेस के प्राथमिक पते को पिंग करने नहीं दिया।

हालांकि, एक विभाजित सुरंग के साथ, जहां वीपीएन एडाप्टर केवल निर्दिष्ट नेटवर्क के लिए ट्रैफ़िक को संभालता है, यह द्वितीयक पते के लिए बहुत अच्छा काम करता है।

यदि आप कर सकते हैं, तो कनेक्शन की कॉन्फ़िगरेशन को विभाजित सुरंग के रूप में बदल दें; यदि आपका समापन बिंदु एक एएसए है, तो यह प्रासंगिक होगा split-tunnel-policyऔर split-tunnel-network-listआदेश देगा group-policy।