スプリットトンネルとCisco AnyConnect

14

Windows 7 64ビットでCisco AnyConnect Secure Mobility Client 3.1.02026を使用しています。スプリットトンネリングを有効にするチェックボックスがあると聞きました。ただし、おそらく管理者の設定が原因で、このチェックボックスはGUIから削除されます。管理者は、構成を変更する必要はありません。強制的にトンネリングを分割したいと思います。どうやって?ソリューションで別のVPNクライアントを使用してもかまいません。ソリューションは、VPNサーバーに変更を加えることはできません。仮想マシンを試してみましたが、動作しますが、より便利なソリューションが欲しいです。ルートテーブルをいじってみましたが、おそらく正しい方法を知らないために失敗しました。

これは、route printVPNに接続する前の私のものです。

===========================================================================
Interface List
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3     11
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.3    266
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 27     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 27     58 2001::/32                On-link
 27    306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::/64                On-link
 27    306 fe80::/64                On-link
 27    306 fe80::3431:3b25:b736:1859/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
  1    306 ff00::/8                 On-link
 27    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

これは、route printVPNに接続した後の私のものです。

===========================================================================
Interface List
 19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
  1...........................Software Loopback Interface 1
 25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.3     10
          0.0.0.0          0.0.0.0     10.154.128.1     10.154.159.8      2
     10.154.128.0    255.255.224.0         On-link      10.154.159.8    257
     10.154.159.8  255.255.255.255         On-link      10.154.159.8    257
   10.154.159.255  255.255.255.255         On-link      10.154.159.8    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     137.254.4.91  255.255.255.255      192.168.1.1      192.168.1.3     11
      169.254.0.0      255.255.0.0         On-link      10.154.159.8    306
      169.254.0.0      255.255.0.0         On-link       192.168.1.3    306
  169.254.255.255  255.255.255.255         On-link      10.154.159.8    257
  169.254.255.255  255.255.255.255         On-link       192.168.1.3    266
      192.168.1.1  255.255.255.255         On-link       192.168.1.3     11
      192.168.1.3  255.255.255.255         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.3    266
        224.0.0.0        240.0.0.0         On-link      10.154.159.8    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.3    266
  255.255.255.255  255.255.255.255         On-link      10.154.159.8    257
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
      169.254.0.0      255.255.0.0      192.168.1.3       1
          0.0.0.0          0.0.0.0     10.154.128.1       1
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 19     11 ::/0                     On-link
  1    306 ::1/128                  On-link
 19    266 fe80::/64                On-link
 19    266 fe80::2a78:5341:7450:2bc1/128
                                    On-link
 14    266 fe80::3933:bb6f:892:d161/128
                                    On-link
 19    266 fe80::c12f:601f:cdf:4304/128
                                    On-link
 19    266 fe80::c5c3:8e03:b9dd:7df5/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
vpn  cisco-anyconnect  split-tunnel 
ネイサン
ソース
Vadzim

回答:

7

まず、ネットワーク管理者がスプリットトンネリングを許可していない理由は、悪意のある人/コードがコンピューターを介してネットワークにアクセスすることで実装されているセキュリティ対策を回避できる可能性があるためです。スプリットトンネルがないのは面倒だと思いますが、リスクに見合う価値があるかどうかを自問してください。

これで、警告はなくなりました。CiscoAnyConnectは、ホストコンピューターのルーティングテーブルを一時的に書き換えることで、スプリットトンネルを防止します。route printAnyConnectを起動する前に使用し、後でそれを使用して違いを確認します。AnyConnectの起動後に、ルーティングテーブルを調整して実行するスクリプトを作成できます。ネットワーク使用ポリシーに違反しないと思われる簡単なソリューションは、AnyConnectでVMを使用することです。ホストのNICがロックダウンされることはなく、ルールを破ることもありません...両方の長所があります。

ユビキコン
ソース
4
Cisco AnyConnectは、Windowsでのルート調整が機能しないようにします。
ネイサン
0

Cisco AnyConnectでトンネルを分割する方法を理解していません。これが私の回避策です。

VPNCフロントエンドを使用しようとしましたが、一般的なエラーメッセージにより接続設定を修正できませんでした。default.confに「アプリケーションバージョンCisco Systems VPN Client 4.8.01(0640):Linux」を追加する必要がありました。また、接続が確立されると、リモートLANの何にもアクセスできませんでした。リモートLAN IPアドレス(例:)のルートを追加したバッチファイルを作成する必要がありましたroute add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180。同じバッチファイルは、ISPのDNSサーバーの前に最初にリモートLANのDNSサーバーを使用するように構成する必要がありました(例netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1

より詳細なエラーメッセージを取得するには、BMCの指示に従いました。追加パッケージをインストールする必要がありました:Net openssl、Devel Libs openssl-devel、Interpreters perl。

ネイサン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.