我的工作刚刚改变了有关我们如何从家里连接的政策——以前,我可以通过 ssh 进入网关,然后 ssh 进入我需要使用的任何内部机器。但是现在,我必须使用 VPN 进行连接,然后我就可以直接 ssh 到我需要的任何机器。
这很好,但出于各种原因,我不希望我的所有流量都通过 VPN。它使用 Cisco AnyConnect Mobility Client,我查看了能找到的设置,但没有找到任何关于如何选择哪些流量通过 VPN 以及哪些流量通过我的常规互联网连接的信息。
我是否可以在应用程序级别进行设置 - 例如始终通过互联网路由 Firefox,而通过 VPN 路由 Chrome?或者我可以针对端口流量进行设置 - 仅设置我的 SSH 流量通过我的 VPN,而其他流量则通过我的常规互联网?
答案1
这是一份关于在系统端手动配置拆分隧道的优秀文档(如果可能)。您可以通过在系统上创建路由规则来控制 Windows PC 发送流量的位置,并具体控制到某些 IP 范围的流量通过的接口。这可能是在不涉及公司 IT 部门的情况下实现目标的最佳方式,并且它将确保您的所有常规流量离开您的家庭互联网连接,无论使用哪种浏览器。根据 IT 管理员对 AnyConnect 软件的配置,这可能无法工作,但将其配置为拆分隧道是一般策略。请参阅这里。
子网内流量的客户端拆分隧道行为差异
AnyConnect 客户端和旧版 Cisco VPN 客户端(IPsec/IKEv1 客户端)在将流量传递到与 ASA 分配的 IP 地址位于同一子网内的站点时,其行为有所不同。使用 AnyConnect,客户端会将流量传递到您配置的拆分隧道策略中指定的所有站点,以及与 ASA 分配的 IP 地址位于同一子网内的所有站点。例如,如果 ASA 分配的 IP 地址为 10.1.1.1,掩码为 255.0.0.0,则无论拆分隧道策略如何,终端设备都会传递所有发往 10.0.0.0/8 的流量。
相比之下,传统的思科 VPN 客户端仅将流量传递到拆分隧道策略指定的地址,而不管分配给客户端的子网。
因此,使用正确引用预期本地子网的分配 IP 地址的网络掩码
这是文档: https://documentation.meraki.com/MX-Z/Client_VPN/Configuring_Split-tunnel_Client_VPN
这可用于检查建立连接时软件正在做什么,并可能手动配置分割隧道。
我将在这里添加这些步骤,以防链接断开。
1) 在 VPN 软件创建的网络适配器上,在 IPv4、高级下,确保未选中“在远程网络上使用默认网关”。
2)在命令窗口中输入:route print
3) 在列表中查找 VPN 接口,并记下它的 ID(数字,例如 12)。然后,您可以通过键入以下内容添加特定路由:
route add <destination subnet> mask <subnet mask> 0.0.0.0 IF <VPN adapter number> -p
例如。
route add 10.10.10.0 mask 255.255.255.0 0.0.0.0 IF 12 -p
这是另一个问题有人问同样的问题。祝你好运!