Anyconnectはインターネットをトンネリングしません

ASAをVPN Server(SSL)としてセットアップしました。すべて素晴らしいです。私はすべてのオフィスネットワークとインターネットにアクセスできます。

今私は、古いネットワークでは設定が異なっていたことに気付きました。古いVPN(IPsec)を介して接続し、インターネットをブラウズしたとき、私たちはルータへのトンネルを使用しませんでした。私たちはクライアントのインターネットを使いました。

言い換えれば、私たちはオフィスルーターからインターネットへの外部IPアドレスは表示されませんでした。私たちは自分のIPアドレス(私の家から)で登場しました。

私はグーグルでは、正しい設定チュートリアルが見つかりません。多分私は間違っていると思います。私が必要とするのはスプリットトンネリングです。

0
私の知る限り、Cisco VPNはスプリットトンネリングを許可しておらず、PC上でそれを行うルートを追加すると、PCの設定からそれを積極的に削除することさえできます。これはセキュリティ機能です。
追加された 著者 Ron Maupin,
これは、事務所のネットワークと公共のインターネットとの間でバックドアを設定することを防ぎます。そのため、オフィスのネットワークは脆弱になります。ネットワーク管理者が制御されたインターネットアクセスのポリシーを設定する場合、スプリットトンネリングを使用して、ネットワーク管理者が設定したセキュリティとポリシーをバイパスできます。
追加された 著者 Ron Maupin,
本当に?それは私たちのオフィスに大きな帯域幅を持たないため、ダウンロードがすべて私の高速DLSの代わりに私のVPNを通過するので、悲しいです。しかし、これは私がこれを行うためのガイドを見つけられない理由を説明します。
追加された 著者 Jim Bryce,

2 答え

私の知る限り、Cisco VPNはスプリットトンネリングを許可しておらず、PC上でそれを行うルートを追加すると、PCの設定からそれを積極的に削除することさえできます。

これはセキュリティ機能です。これは、事務所のネットワークと公共のインターネットとの間でバックドアを設定することを防ぎます。そのため、オフィスのネットワークは脆弱になります。ネットワーク管理者が制御されたインターネットアクセスのポリシーを設定する場合、スプリットトンネリングを使用して、ネットワーク管理者が設定したセキュリティとポリシーをバイパスできます。

0
追加された
実際には、グループポリシー属性を定義し、指定されたグループポリシーでスプリットトンネルポリシーを定義することで実現できます。
追加された 著者 HAL,
ここでシスコの記事、 cisco.com/c/en/us/support/docs/security/…
追加された 著者 HAL,

split tunnel valueコマンドを使用して、ACLを定義し、グループポリシーでACLを適用できます。次に、グループポリシーをトンネルグループに適用できます。

このマニュアルの説明は次のとおりです。

http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/119006-configure-anyconnect-00.html#anc13

以下は、10.10.0.0/16ネットワークのトラフィックのみをトンネリングします。

access-list Split standard permit 10.10.0.0 255.255.0.0

group-policy ANYCONNECT-POLICY attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Split

tunnel-group ANYCONNECT general-attributes
 default-group-policy ANYCONNECT-POLICY

接続時にanyconnectクライアントを開き、コグ(詳細プロパティ)をクリックしてルートの詳細タブをクリックすると、保護ルートとして10.10.0.0/16、保護されていないルートとして0.0.0.0/0が表示されます。

0
追加された
ありがとう!前にこの記事が見つかりました。魅力的な作品:-)
追加された 著者 Jim Bryce,