Cisco VPN 阻止所有互联网流量并且不允许拆分隧道

Cisco VPN 阻止所有互联网流量并且不允许拆分隧道

[注意:我也在“超级用户”中发布了这个问题]

在工作中,我们有 Windows 10 机器。我们还有一个本地运行的客户 VMWare Workstation VM(Ubuntu)。客户提供从我们的主机到 VPN 服务器的连接。连接到 VPN 服务器让我们可以下载所需的文件、连接到 Internet 等。所有这些都在 Ubuntu VM 内完成。

但是,VPN 连接(Cisco AnyConnect)阻止了主机(Windows 10)的任何 Internet 访问:当我们连接到 VPN 时:Outlook 无法工作,Lync 无法工作,主机 Internet 无法工作,等等。当然:

• 客户不提供分割隧道(并且不会提供)。如果我们尝试运行(例如)另一个 VPN 服务,则客户 VPN 会断开连接...:您在虚拟机内花费数小时进行的所有工作(下载 GB 的文件、使用只能通过 VPN 访问的工具编译代码等)都将丢失。

• 通过虚拟机进行的互联网访问极其有限:我们无法通过 Google 查看 bash 命令、Python 或 C 命令;无法访问 StackOverflow... 尝试找出解决方案:

• 我正在考虑安装 VirtualBox(以避免与客户环境冲突);

• 安装 Windows 10 VM(是的... W10 主机中的 W10 客户机);

• 将 USB 端口转发到此 W10 客户机;

• 将外部 WiFi 卡连接到该 USB 端口。

有了这种配置,我假设客户 VPN 不会“意识到”主机的一个 USB 端口已被盗用。因此,我们可以通过 USB 端口使用外部 WiFi 卡在 W10 客户机内进行互联网通信。

问题:

  1. 这种配置可行吗?

  2. 这种配置能提供我们想要的解决方案吗?

  3. 我不知道主机应用程序(Outlook、Lync、浏览器)如何从访客访问互联网中获益。有没有办法将 W10 访客计算机用作主机计算机的网关或代理(很奇怪……对吧?)?

  4. 最后,我在某处找到了一些建议,可以对被盗 USB 端口的互联网流量进行某种混淆。但是,如果它真的被盗了,而客户 VPN 无法 (?) 知道被盗端口的存在,我认为这不是必要的步骤,除非这种情况可以假定为拆分隧道,因此 W10 客户机的互联网流量容易受到外部攻击,就像通常在与拆分隧道相关的文档中描述的那样。

提前致谢!任何帮助都将不胜感激!

答案1

Cisco AnyConnect 客户端既是 VPN 客户端,也是安全客户端。它实际上是为在公司拥有的设备上实施安全策略而设计的,例如分割隧道。

您的客户将过于严格的安全策略强加到不属于他们的设备上,严重影响了您的工作能力,这是不可接受的。应通过协商不同的策略或连接到他们的网络来解决这个问题。

您不太可能能够插入或使用辅助互联网连接来访问互联网。如前所述,思科客户端不仅仅是一个 VPN 客户端。它会拦截您的网络流量和 DNS 请求并强制阻止流量。

由于客户端在系统上执行严格的策略,因此可能没有支持的方法来达到您的要求。

答案2

目前还不完全清楚您想要实现什么,在您采取这条路径之前,请确保您了解您的雇主关于 VPN 连接恢复工作的安全政策(并且您描述的设置听起来很熟悉,您应该查看内部资源,如网站和邮件列表,寻找问题的解决方案)。

我认为您遇到的问题是:

  1. 您可以在家中或客户处使用雇主的设备(永久或临时)工作。
  2. 执行上述操作时,您将使用 Cisco Anyconnect 进行连接,正如您所描述的,它会将所有互联网流量路由到 VPN 网关。
  3. 此时,您无法将客户的 VM 连接到他们的 VPN,而您需要两者才能完成工作。

我认为,解决问题的方法是让您的经理参与进来,并与两家公司的 IT 部门合作,以提供解决此问题的解决方案。这可能(取决于两端的安全策略)意味着为您的笔记本电脑提供自定义安全策略,为您提供两个系统,一个用于连接到您的雇主,另一个用于连接到您的客户,或者在一个主机下拥有两个虚拟机 - 而不是两个物理系统,一个连接到您雇主的 VPN,另一个连接到您的客户。

答案3

您可以在该机器上创建一个 Linux VM,并在其他地方创建一个 Linux DNS 服务器。然后,您可以通过 DNS 隧道传输流量。这种方法并不完美,但确实有效。

相关内容