Вопрос или проблема
Справочная информация: я работаю подрядчиком для небольшого агентства веб-дизайна. У нас есть проект / клиент, который требует, чтобы любые обновления / разработки выполнялись через VPN. Клиентский VPN требует статический IP-адрес и подключается с помощью Cisco AnyConnect. Они устанавливают, что работа должна выполняться на территории агентства веб-дизайна или же мы должны подключаться к VPN этого агентства.
Так как агентство небольшое, у них нет ни VPN, ни статического IP-адреса. Поэтому я настроил VPN на своем личном сервере Linode, используя OpenVPN Access Server. Я могу подключиться к своему VPN-серверу без проблем. Я также могу без проблем зайти на веб-логин клиентского VPN.
Однако, когда Cisco Anyconnect пытается подключиться к клиентскому VPN, я получаю сообщение об ошибке “Клиент VPN не смог изменить таблицу IP-маршрутизации. Подключение VPN не будет установлено. Пожалуйста, перезапустите ваш компьютер или устройство и попробуйте снова.”
Я попробовал на другом компьютере и столкнулся с той же проблемой. Ранее клиент добавлял мой домашний IP в белый список (теперь это больше не вариант), и VPN подключался без проблем. На моей стороне ничего не изменилось, за исключением того, что теперь в середине находится OpenVPN.
Что я упускаю? Это вообще возможно и / или распространено? Я хочу соединить: домашний компьютер > Linode с OpenVPN > клиентский VPN с использованием Cisco Anyconnect.
Любая помощь и совет будут признательны. Спасибо.
Предполагая, что они требуют более новой версии (3.0 и выше) AnyConnect Secure Mobility Client, я думаю, что вы упустили тот факт, что единственные Linux-платформы, которые поддерживаются клиентом AnyConnect, это 32-битные версии Ubuntu или RHEL Desktop.
У Cisco также есть подробный документ совместимости, который описывает требования к платформам клиента ASA.
Я не думаю, что AnyConnect сможет подключиться через VPN-туннель, созданный на локальном компьютере. Он пытается внести изменения в сеть, которые будут конфликтовать с изменениями, уже внесенными OpenVPN, и поэтому не работает.
Вам потребуется использовать ваш роутер для подключения к офису агентства веб-дизайна через OpenVPN. Затем AnyConnect на вашем компьютере будет работать, так как это единственный VPN, вносящий изменения в сетевую конфигурацию на вашем компьютере.
.
Ответ или решение
Проблема, описанная в вашем вопросе, связана с тем, что Cisco AnyConnect не может изменить таблицу маршрутизации IP, когда вы пытаетесь подключиться к VPN клиента через туннель OpenVPN. Давайте разберем причины и возможные пути решения этой ситуации с профессиональной точки зрения.
Теория
Протоколы VPN используются для обеспечения безопасного соединения поверх общедоступных сетей, и каждая VPN может изменять сетевые настройки в соответствии с особыми требованиями для создания безопасного туннеля. Cisco AnyConnect, как клиент VPN, требует возможности вносить изменения в таблицу маршрутизации IP на вашем устройстве, чтобы направлять трафик через безопасный туннель. Когда устройство подключено к другому VPN, например, через OpenVPN, возникают конфликты при попытке второй VPN-клиент изменить маршрутизацию.
Важно понять, что редактирование таблицы маршрутизации является стандартной процедурой для VPN-клиентов, позволяющей им перенаправлять интернет-трафик через установленные туннели. Однако когда две VPN-утилиты одновременно пытаются управлять сетевой конфигурацией, они могут входить в конфликт, как это происходит в вашем случае.
Пример
Рассмотрим следующую ситуацию: у вас есть OpenVPN, запущенный на вашем личном сервере Linode. Настроив подключение, вы можете соединиться с вашим сервером, но после этого ваш трафик автоматически маршрутизируется через OpenVPN. Cisco AnyConnect, в свою очередь, при подключении пытается внести свои изменения в таблицу маршрутизации, но из-за уже существующих маршрутов от OpenVPN сталкивается с ошибкой. Это вполне логичная проблема, которой вы сталкиваетесь, исходя из архитектуры VPN.
Применение
Для решения этой проблемы можно рассмотреть несколько подходов:
-
Перенастройка VPN на уровне маршрутизатора: Одним из самых надежных решений будет установка OpenVPN на уровне маршрутизатора, а не на уровне отдельного компьютера. Это позволит обходить проблему конфликтов с таблицей маршрутизации, так как OpenVPN будет управлять соединением до достижения вашего компьютера, а AnyConnect будет единственной программой, управляющей конфигурацией в вашем устройстве.
-
Изучение возможностей Split-Tunneling: Это когда только определенный трафик направляется через VPN, оставляя остаток маршрутизируемым по обычным маршрутам. Возможно, вы сможете настроить ваш OpenVPN на поддержание такой схемы. Это сможет уменьшить конфликты, однако может потребовать более сложной настройки.
-
Использование другой системы или виртуализации: Если у вас есть возможность использовать другую машину или виртуальную среду, которая может свободно управлять сетевыми конфигурациями, вы сможете избежать маршрутизации по цепочке VPN на одном устройстве.
-
Проверка совместимости клиента Cisco AnyConnect: Убедитесь, что ваше текущее рабочее окружение полностью поддерживается Cisco AnyConnect. Определенные версии Cisco AnyConnect имеют строгие требования к операционным системам, что может вызвать дополнительные проблемы.
-
Альтернативные сетевые настройки и права доступа: Убедитесь, что вы имеете необходимые права доступа для управления сетями на устройстве, например, запуск от имени администратора для изменения сетевых конфигураций.
Тем не менее, как показывает практика, два параллельно работающих VPN-клиента — это довольно распространенная проблема, с которой сталкиваются многие специалисты в области ИТ. Часто более эффективные решения связаны с переосмыслением маршрутизации и системы организации сетевых соединений в целевой среде.
Ваша ситуация подчеркивает важность внимательного анализа сетевых требований и параметров на каждом этапе подключения, особенно когда речь идет о многокомпонентных туннелях. Удачи вам в решении этой задачи!