Спробуйте використовувати OpenConnect замість Cisco AnyConnect, щоб уникнути блокування таблиці маршрутизації

Маленька покидька · Опубліковано 21.03.2022 09:13:12

огляд

Побудуйте ocserv vpn-проксі на CentOS 7
https://www.itsvse.com/thread-9409-1-1.html

anyconnect-win-4.9.04053-predeploy-k9.zip завантажити
https://down.itsvse.com/item/zgkzxg.html

Передмова

Нещодавно я працював над проєктом, який вимагав VPN-з'єднання з сервером іншої сторони, і інша сторона використовувала Cisco AnyConnect.

Ми встановили клієнт AnyConnect, і його можна підключити.

випуск

Пізніше, коли наша система не могла запуститися, ми виявили проблему: наша система мала підключитися до нашого внутрішньомережевого сервісу X, і IP-адреса сервісу X була включена до таблиці маршрутизації AnyConnect. Якщо подивитися на таблицю маршрутизації, можна побачити таку ситуацію: як тільки VPN відключається, сервіс X знову відкривається, і він одразу виходить з ладу. Нам навіть не потрібен VPN для доступу до IP іншої сторони, але цей VPN маршрутизує низку приватних сегментів мережі.

Я безпосередньо видалив відповідну таблицю маршрутизації, а потім оновив таблицю маршрутизації, щоб зрозуміти, чому цей запис досі там? ?

Після довгих пошуків я нарешті знайшов винуватця, а самеСам AnyConnect. Він навмисно моніторить таблицю маршрутизації і поверне її на вас, якщо виявить, що її підробили。

Вирішено проблему, коли клієнт Cisco AnyConnect не дозволяв змінювати таблицю маршрутизації
https://zhuanlan.zhihu.com/p/129792747

Врегулювати

Щойно в посиланні хтось запропонував рішення: замість AnyConnect використовуйте open sourceOpenConnect。 Встановлення простое, Linux/Mac OS має готові пакети, які можна встановити через командний рядок, а Windows також має відповідну версію графічного інтерфейсу.

Адреса OpenConnect:Вхід за гіперпосиланням видно.

OpenConnect — це кросплатформенний багатопротоколний SSL-VPN-клієнт, який підтримує кілька VPN-протоколів:

Cisco AnyConnect ( --protocol=anyconnect )
Масивні мережі AG SSL VPN ( --протокол=масив )
Juniper SSL VPN ( --protocol=nc )
Безпека імпульсного з'єднання (--protocol=імпульс
Palo Alto Networks GlobalProtect SSL VPN ( --protocol=gp )
F5 Big-IP SSL VPN ( --протокол=f5 )
Fortinet Fortigate SSL VPN ( --protocol=fortinet )

Версія графічного інтерфейсу Windows (openconnect-gui):Вхід за гіперпосиланням видно.

Після встановлення підключіться до VPN за допомогою наступної команди:

Вхід видно.

Після встановлення з'єднання ви можете перевірити таблицю маршрутизації і побачити, що таблицю маршрутизації дійсно додавали багато разів.

Але це не має значення, sudo ip del xxxxxxxxxxxx, ви можете видалити це напряму. Це вирішує проблему.

Оригінальний:Вхід за гіперпосиланням видно.

Маленька покидька · Опубліковано 21.03.2022 09:23:32

Таблиця маршрутизації Windows встановлює вказану IP-адресу виходу для різних мереж
https://www.itsvse.com/thread-10277-1-1.html

[Джерело] Спробуйте використовувати OpenConnect замість Cisco AnyConnect, щоб уникнути блокування таблиці маршрутизації

Пов'язані дописи

Переглянуті розділи