我们有一台用于通过 Cisco SSL VPN 连接的机器(\\speeder
)。
我可以 ping 我们speeder
的10.0.0.3
:
上的路由表\\speeder
显示了我们为其分配的多个 IP 地址:
与 Cisco AnyConnect VPN 客户端连接后:
我们无法再 ping 通\\speeder
:
虽然 Cisco VPN 适配器有新的路由条目,但连接后没有修改任何现有路由条目:
可以预料的是,我们无法 ping 通 Speeder 的 IP 地址在 Cisco VPN 适配器上(192.168.199.20),因为它与我们的网络位于不同的子网(我们是 10.0.xx 255.255.0.0),即:
C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.
我们遇到的问题是,我们无法 ping现存的IP 地址位于\\speeder
:
C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.
C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.
C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.
ETC
有趣的是,也许能提供一些线索的是一我们可以沟通的地址:
此地址我们能ping 并通信:
C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128
是什么让一IP 地址特殊吗?这个 IP 地址具有作为“主”地址的优点:
与我们使用的地址相反,它们是“附加”地址:
总而言之,当 Cisco AnyConnect VPN 客户端连接时,它会阻止我们访问与计算机关联的除一个地址之外的所有地址。
我们需要思科客户停止这样做。
有人知道如何让 Cisco AnyConnect SSL VPN 客户端停止这样做吗?
笔记:Firepass SSL VPNF5 Networks 不会遭遇同样的问题。
我们已经联系了思科,他们说不支持这种配置。
答案1
我报告了 Cisco Bug IDCSCts12090(需要 CCO)几周前向思科提交了此申请。我大约 6 个月前才开始使用 AnyConnect,只使用过 3.0 及以上版本。看来您使用的是 3.0 之前的版本。
无论如何,我报告的 bug 非常相似(但更糟糕)。在某些情况下,当多个 IP 分配给本地 NIC 时,AnyConnect 无法成功连接。有关完整详细信息,请参阅前面链接的完整 bug 报告。这是一个已确认的 bug,将在 AC 3.1 中修复。据我所知,AC 3.1 承诺将对本地路由表更新代码进行相当大的重写,这将修复此问题以及 AC 的一系列其他怪癖。
虽然您遇到的问题与我在 CSCts12090 中报告的问题不完全相同,但却非常相似。
答案2
Cisco VPN 适配器比较特殊,在“默认”模式下,它被设计为通过隧道链路发送每一点网络流量。我镜像了该配置进行测试,而普通隧道实际上甚至不允许我 ping 本地接口的主地址。
但是,通过分割隧道,VPN 适配器仅处理指定网络的流量,它似乎对辅助地址运行良好。
如果可以,请将连接的配置更改为拆分隧道;如果您的端点是 ASA,它将是相关的split-tunnel-policy
和命令。split-tunnel-network-list
group-policy