为了远程访问企业内网,我们必须使用 Cisco AnyConnect VPN 客户端。我们可以在任何个人机器上安装它,他们提供适用于 Windows、Mac 和 Linux 的下载和说明。除了它们提供的路由表配置外,这很好用。
他们通过 VPN 路由除了 10.0.0.0/8 和 172.0.0.0/8(这不是打字错误)子网之外的所有内容。这已融入客户端,我找不到改变它的方法。我真正需要的是端口 80、443 和 22,用于通过 VPN 隧道路由的小型 C 类子网。
有没有办法更改路由表配置?除此之外,是否可以使用 HTTP/S 代理和 SSH 通过 VPN 隧道设置 Linux VM?
小智 7
除此之外,是否可以设置一个带有 HTTP/S 代理和 SSH 并通过 VPN 隧道路由的 Linux 虚拟机?
我只能解决该问题的第一部分,“是否可以设置一个 Linux 虚拟机……通过 VPN 隧道进行路由”。是的你可以。
如果您使用备用客户端openconnect,则分割隧道相当简单。您还需要vpnc-script以使设置路由的过程更容易一些(尽管您始终可以手动返回并使用命令ip route)。
然后您将按照此 github gist中的说明进行操作。本质上,
sudo openconnect <corporate-vpn-endpoint> \
-m 1290 \
-u <your-vpn-user> \
--servercert sha256:<0446a7EXAMPLE8901278394> \
-s 'vpn-slice <10.10.0.0/14>'
其中10.10.0.0/14应该是您希望通过 VPN 的子网。
此命令之后您的路线最终看起来像这样
# ip route
default via 10.1.1.1 dev wlp4s0 proto static metric 600
10.1.1.0/24 dev wlp4s0 proto kernel scope link src 10.1.1.50 metric 600
10.10.0.0/14 dev tun0 scope link
10.10.0.0/14 dev tun0 scope link metric 6
180.10.34.165 dev tun0 scope link
180.10.34.165 dev tun0 scope link metric 6
请注意,大多数流量通过默认路由传递,而命令 ( 10.10.0.0/14) 中指定的子网则通过隧道传递。
它不允许分割隧道。这是 VPN 软件的一项安全功能。允许分割隧道会使业务网络面临风险,因为这可以用来绕过防火墙。该软件会主动监控主机路由的变化,并会撤销对主机路由所做的更改。
| 归档时间: |
|
| 查看次数: |
16419 次 |
| 最近记录: |