我在 Windows 7 64 位上使用 Cisco AnyConnect Secure Mobility Client 3.1.02026。我听说有一个复选框可以启用拆分隧道。但是,由于管理员的设置,此复选框已从 GUI 中删除。管理员不想进行任何配置更改。我想强制拆分隧道。怎么做?如果解决方案使用不同的 VPN 客户端,那就没问题了。该解决方案无法对 VPN 服务器进行任何更改。我试过虚拟机,它可以工作,但我想要一个更方便的解决方案。我试过摆弄路由表,但失败了,可能是因为不知道如何正确操作。
这是我route print连接到VPN之前的。
===========================================================================
Interface List
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 11
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.0 255.255.255.0 On-link 192.168.1.3 266
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
192.168.1.255 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
27 58 ::/0 On-link
1 306 ::1/128 On-link
27 58 2001::/32 On-link
27 306 2001:0:5ef5:79fd:3431:3b25:b736:1859/128
On-link
14 266 fe80::/64 On-link
27 306 fe80::/64 On-link
27 306 fe80::3431:3b25:b736:1859/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
1 306 ff00::/8 On-link
27 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
这是我route print连接到VPN后的。
===========================================================================
Interface List
19...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
14...00 1e 4f d7 64 5b ......Intel(R) 82566DM-2 Gigabit Network Connection
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
167...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.3 10
0.0.0.0 0.0.0.0 10.154.128.1 10.154.159.8 2
10.154.128.0 255.255.224.0 On-link 10.154.159.8 257
10.154.159.8 255.255.255.255 On-link 10.154.159.8 257
10.154.159.255 255.255.255.255 On-link 10.154.159.8 257
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
137.254.4.91 255.255.255.255 192.168.1.1 192.168.1.3 11
169.254.0.0 255.255.0.0 On-link 10.154.159.8 306
169.254.0.0 255.255.0.0 On-link 192.168.1.3 306
169.254.255.255 255.255.255.255 On-link 10.154.159.8 257
169.254.255.255 255.255.255.255 On-link 192.168.1.3 266
192.168.1.1 255.255.255.255 On-link 192.168.1.3 11
192.168.1.3 255.255.255.255 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 266
224.0.0.0 240.0.0.0 On-link 10.154.159.8 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 266
255.255.255.255 255.255.255.255 On-link 10.154.159.8 257
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
169.254.0.0 255.255.0.0 192.168.1.3 1
0.0.0.0 0.0.0.0 10.154.128.1 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
19 11 ::/0 On-link
1 306 ::1/128 On-link
19 266 fe80::/64 On-link
19 266 fe80::2a78:5341:7450:2bc1/128
On-link
14 266 fe80::3933:bb6f:892:d161/128
On-link
19 266 fe80::c12f:601f:cdf:4304/128
On-link
19 266 fe80::c5c3:8e03:b9dd:7df5/128
On-link
1 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
答案1
首先要明白,您的网络管理员不允许使用分割隧道的原因是,它可能允许任何恶意人员/代码通过您的计算机访问网络来绕过已实施的安全措施。相信我,我知道没有分割隧道很烦人,但问问自己是否值得冒这个险?
现在警告已经解决,我可以告诉你,Cisco AnyConnect 通过临时重写主机的路由表来防止隧道分裂。route print在启动 AnyConnect 之前使用,之后再使用,看看有什么不同。你可以编写一个脚本来调整路由表,并在启动 AnyConnect 后运行它。一个更简单、可能不会违反你的网络使用策略的解决方案是简单地使用带有 AnyConnect 的虚拟机。你的主机的 NIC 不会被锁定,你也不会违反任何规则……两全其美。
答案2
我还没搞清楚如何使用 Cisco AnyConnect 拆分隧道。以下是我的解决方法。
我尝试使用 VPNC Front End,但出现一条通用错误消息,导致我无法修复连接设置。我需要将“应用程序版本 Cisco Systems VPN Client 4.8.01 (0640):Linux”添加到 default.conf 中。此外,一旦建立连接,我就无法访问远程 LAN 中的任何内容。我需要创建一个批处理文件,为远程 LAN IP 地址添加路由(例如route add 10.0.0.0 mask 255.0.0.0 10.85.37.1 metric 9 IF 180)。同一个批处理文件还必须配置为先使用远程 LAN 的 DNS 服务器,然后再使用我的 ISP 的 DNS 服务器(例如netsh interface ipv4 add dns "Local Connection 2" 42.23.24.46 index=1)
为了获得更详细的错误消息,我按照骨科医疗器械。我必须安装附加软件包:Net openssl、Devel Libs openssl-devel 和 Interpreters perl。
答案3
虽然这对那些试图绕过管理员在 ASA 上设置的安全性的人没有帮助,但是对于 ASA 管理员来说,思科有一篇关于设置 ASA 和 Anyconnect 并进行拆分隧道访问的文章: