标签: cisco-vpn

我们有一台通过 Cisco SSL VPN ( \\speeder)连接的机器。

我可以ping我们对我们speeder在10.0.0.3：

路由表\\speeder显示了我们分配给它的多个 IP 地址：

与 Cisco AnyConnect VPN 客户端连接后：

我们不能再 ping 了\\speeder：

虽然 Cisco VPN 适配器有新的路由条目，但连接后没有修改现有的路由条目：

预计我们无法在 Cisco VPN 适配器(192.168.199.20)上ping Speeder 的 IP 地址，因为它与我们的网络位于不同的子网上（我们是 10.0.xx 255.255.0.0），即：

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

我们遇到的问题是我们无法ping通现有的IP地址\\speeder：

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 …

为了远程访问企业内网，我们必须使用 Cisco AnyConnect VPN 客户端。我们可以在任何个人机器上安装它，他们提供适用于 Windows、Mac 和 Linux 的下载和说明。除了它们提供的路由表配置外，这很好用。

他们通过 VPN 路由除了 10.0.0.0/8 和 172.0.0.0/8（这不是打字错误）子网之外的所有内容。这已融入客户端，我找不到改变它的方法。我真正需要的是端口 80、443 和 22，用于通过 VPN 隧道路由的小型 C 类子网。

有没有办法更改路由表配置？除此之外，是否可以使用 HTTP/S 代理和 SSH 通过 VPN 隧道设置 Linux VM？

如何将 Cisco VPNUI 客户端配置为打开特定主机的快捷方式？据我所知，该程序不接受命令行参数，是吗？

问题是 VPNUI.exe 不会像大多数其他软件程序那样记住您过去连接过的 VPN 的历史记录。

当我运行 openconnect（使用默认的 vpnc 脚本）时，它会发生变化/etc/resolv.conf，而且真的不应该这样做。我只是将 VPN 用于一些特定的主机，而不是用于完整的 Internet 连接。

我有三个站点，多伦多 (1.1.1.1)、密西沙加 (2.2.2.2) 和旧金山 (3.3.3.3)。所有三个站点都有 ASA 5520。所有站点都通过两个站点到站点 VPN 链路相互连接在一起。

我的问题是多伦多和旧金山之间的隧道非常不稳定，每 40 分钟到 60 分钟就会下降一次。多伦多和密西沙加之间的隧道（以相同方式配置）很好，没有掉线。

我还注意到我的 ping 下降了，但 ASA 认为隧道仍在运行。

这是隧道的配置。

多伦多 (1.1.1.1)

crypto map Outside_map 1 match address Outside_cryptomap
crypto map Outside_map 1 set peer 3.3.3.3 
crypto map Outside_map 1 set ikev1 transform-set ESP-AES-256-MD5 ESP-AES-256-SHA
crypto map Outside_map 1 set ikev2 ipsec-proposal AES256

group-policy GroupPolicy_3.3.3.3 internal
group-policy GroupPolicy_3.3.3.3 attributes
 vpn-idle-timeout none
 vpn-tunnel-protocol ikev1 ikev2

tunnel-group 3.3.3.3 type ipsec-l2l
tunnel-group 3.3.3.3 general-attributes
 default-group-policy GroupPolicy_3.3.3.3
tunnel-group 3.3.3.3 ipsec-attributes
 ikev1 pre-shared-key *****
 isakmp …

是否有适用于 Windows 的免费 Cisco VPN 客户端软件？

我有两台计算机（PC 和 MAC）连接到不同的组织 VPN。我希望能够从 MAC 连接到 PC 上设置的相同 VPN。所以我需要将 VPN 列表和证书等导出到我的 MAC。有没有办法做到这一点，或者我需要手动复制什么？假设一切来自：

%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile

到：

/opt/cisco/anyconnect/profile

但是我如何正确合并它呢？假设我需要正确导出证书

我是一名开发人员，没有太多的网络专业知识，所以请耐心等待。

我正在使用 Cisco VPN Client 5.0.02.0090 连接到我工作的 VPN，这样我就可以将 RDP 连接到我的工作计算机。连接后，一旦连接到 VPN，我就无法在本地网络上 ping 任何东西，因此我无法访问我的工作网络。这曾经在大约两周前有效，但今天突然停止工作。

但是，我的笔记本电脑上安装了 Cisco VPN Client，我可以从那里 ping 和 RDP 到我的工作计算机。我的台式机和笔记本电脑都连接到家里的同一个路由器。

到目前为止，我已经尝试了以下方法：

• 重新启动了我的电脑
• 重新安装的 VPN 客户端
• 更新的 NIC 驱动程序
• 禁用防火墙
• 开放端口 500、4500 和 10000

任何帮助将非常感激。谢谢！

我很好奇为什么nmap -sP在通过 Cisco 站点到站点 IPSec 隧道链接的远程子网上运行（ping 扫描）会返回范围内每个 IP 的“主机启动”状态。

[root@xt ~]# nmap -sP 192.168.108.*
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2012-11-22 14:08 CST
Host 192.168.108.0 appears to be up.
Host 192.168.108.1 appears to be up.
Host 192.168.108.2 appears to be up.
Host 192.168.108.3 appears to be up.
Host 192.168.108.4 appears to be up.
Host 192.168.108.5 appears to be up.
.
.
.
Host 192.168.108.252 appears to be up.
Host 192.168.108.253 appears to be up.
Host 192.168.108.254 appears …

我们ASA 5505部署了几个。目前，我们有一个设置，其中本地 ASA 正在回答 DHCP 查询并使用两个 DNS 服务器配置客户端：我们的 DR 站点 DNS 服务器（我们使用 AD）和一个公共 DNS。

当 VPN 隧道关闭时，我们需要让客户端访问“互联网”（这不仅意味着数据包路由，还意味着 DNS 响应），这排除了我们这边的 DHCP 服务。上面的配置允许我们vpnclient server [Production site VPN target] [DR site VPN target]毫无问题地使用。

这是以前配置的解决方法，我们通过调整 DHCP 分配的 DNS 手动故障转移隧道。超高触感和缓慢。

在 Fortigate 上，有一个负载平衡服务可以创建一个 VIP 并进行一些检查以验证与 DNS 服务器的连接。

除了像负载平衡这样的创造性解决方案之外，我们如何配置由我们的现场 ASA 分配了 DHCP 的客户端，以将 DNS 查找发送到特定服务器？

[边注]

只是想我们可能会在每个站点使用负载均衡器，通过相同的 VIP（只能由 VPN 客户端访问）来提供 DNS 服务。但对于可能的客户端问题，这是一个复杂的服务器端解决方案。