Cisco AnyConnect SSL VPN 客户端允许本地 LAN 访问,但不允许访问额外的多宿主服务器
Ian*_*oyd 19 ssl cisco cisco-vpn
我们有一台通过 Cisco SSL VPN ( \\speeder)连接的机器。
我可以ping我们对我们speeder在10.0.0.3:
路由表\\speeder显示了我们分配给它的多个 IP 地址:
与 Cisco AnyConnect VPN 客户端连接后:
我们不能再 ping 了\\speeder:
虽然 Cisco VPN 适配器有新的路由条目,但连接后没有修改现有的路由条目:
预计我们无法在 Cisco VPN 适配器(192.168.199.20)上ping Speeder 的 IP 地址,因为它与我们的网络位于不同的子网上(我们是 10.0.xx 255.255.0.0),即:
C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.
我们遇到的问题是我们无法ping通现有的IP地址\\speeder:
C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.
C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.
C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.
等等
有趣且可能提供线索的是,我们可以与一个地址进行通信:
这个地址我们可以ping通并与之通信:
C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128
是什么让这一个IP地址,特别?这个 IP 地址具有作为“主”地址的优点:
与我们使用的地址相反,它们是“附加”地址:
总而言之,当 Cisco AnyConnect VPN 客户端连接时,它会阻止我们访问与计算机关联的只有一个地址。
我们需要 Cisco Client 停止这样做。
有谁知道如何让 Cisco AnyConnect SSL VPN 客户端停止这样做?
注意:来自 F5 Networks 的Firepass SSL VPN不会遇到同样的问题。
我们已经联系了 Cisco,他们说不支持此配置。
几周前,我向思科报告了思科 Bug ID CSCts12090 (需要 CCO)。我大约 6 个月前才开始使用 AnyConnect,只使用过 3.0 及更高版本。看来您使用的是 3.0 之前的版本。
无论如何,我报告的错误非常相似(但更糟糕)。在某些情况下,当多个 IP 分配给本地 NIC 时,AnyConnect 无法成功连接。有关完整详细信息,请参阅前面链接的完整错误报告。这是一个已确认的错误,并将在 AC 3.1 中修复。正如我所知,AC 3.1 承诺对本地路由表更新代码进行相当大的重写,以解决这个问题以及 AC 的一系列其他问题。
虽然您遇到的问题与我在 CSCts12090 中报告的问题并不完全相同,但它却出奇地相似。
| 归档时间: |
|
| 查看次数: |
40087 次 |
| 最近记录: |