Вопрос или проблема
[ПРИМЕЧАНИЕ: Я ЗАДАЛ ЭТОТ ВОПРОС И В “SUPERUSER”]
На работе у нас есть компьютеры с Windows 10. У нас также есть виртуальная машина VMWare Workstation (Ubuntu), работающая локально. Клиент предоставляет соединение между нашими хост-машинами и VPN-сервером. Подключение к VPN-серверу позволяет скачивать необходимые файлы, подключаться к Интернету и так далее. ВСЕ это внутри виртуальной машины Ubuntu.
Тем не менее, VPN-соединение (Cisco AnyConnect) блокирует доступ к Интернету с хост-машин (Windows 10): когда мы подключены к VPN: Outlook не работает, Lync не работает, интернет на хосте не работает и так далее.
Конечно:
• Клиент не предоставляет сплит-туннелирование (и не будет этого делать). Если мы попытаемся запустить (например) другую VPN-службу, клиентская VPN отключится…: вся работа, которую вы выполняли в течение часов внутри виртуальной машины (скачивая гигабайты файлов, компилируя код с помощью инструментов, доступных только через VPN и так далее) будет потеряна.
• Доступ в интернет через виртуальную машину крайне ограничен: мы не можем гуглить, чтобы посмотреть команду bash, или Python, или C; вы не можете получить доступ к StackOverflow…
Пытаемся найти решение:
• Я думаю установить VirtualBox (чтобы избежать конфликтов с клиентской средой);
• Установить виртуальную машину Windows 10 (да… клиент W10 на хосте W10);
• Перенаправить USB-порт на эту клиентскую машину W10;
• Подключить к этому USB-порту внешнюю WiFi-карту.
С этой конфигурацией я предполагаю, что клиентская VPN не “осознает”, что один USB-порт был “украден” с хост-машины. Таким образом, мы смогли бы иметь интернет-трафик внутри клиентской машины W10, используя внешнюю WiFi-карту через USB-порт.
Вопросы:
-
Является ли эта конфигурация возможной?
-
Предоставит ли эта конфигурация решение, которое мы ищем?
-
Я не понимаю, как хост-приложения (Outlook, Lync, браузеры) смогут воспользоваться доступом клиента к Интернету. Есть ли способ использовать клиентскую машину W10 в качестве шлюза или прокси для хостовой машины (странно… верно?)?
-
Наконец, я где-то нашел совет, касающийся предоставления некоторого рода обфускации интернет-трафика украденного USB-порта. Но если он действительно украден и у клиентской VPN нет способа (?) узнать, что украденный порт существует, я не вижу в этом необходимости, если только этот сценарий нельзя считать сплит-туннелированием и, таким образом, интернет-трафик клиента W10 уязвим для внешних атак, как обычно описывается в документах, связанных со сплит-туннелированием.
Заранее спасибо! Любая помощь будет очень признательна!
Клиент Cisco AnyConnect является клиентом безопасности в равной степени, как и клиентом VPN. Он действительно предназначен для соблюдения политик безопасности на оборудовании, принадлежащем компании, например, сплит-туннелирование.
Тот факт, что ваш клиент навязывает чрезмерно строгую политику безопасности на оборудование, которое не принадлежит ему, и это серьезно сказывается на вашей способности работать, действительно неприемлемо. Это должно решаться путем переговоров о другой политике или подключении к их сети.
Маловероятно, что вы сможете подключить или использовать вторичное интернет-соединение для доступа в интернет. Как уже отмечалось, клиент Cisco является больше, чем просто клиентом VPN. Он перехватывает ваш сетевой трафик и DNS-запросы и принудительно блокирует трафик.
Поскольку клиент накладывает строгие правила на систему, вероятно, нет поддерживаемого метода для достижения того, что вы запрашиваете.
Не совсем ясно, что именно вы хотите достичь, и прежде чем идти по этому пути, пожалуйста, убедитесь, что вы понимаете политику безопасности вашего работодателя касательно подключения по VPN к работе (и настройка, которую вы описываете, звучит странно знакомо, до той степени, что вам стоит изучить ВНУТРЕННИЕ ресурсы, такие как веб-сайты и списки рассылки, для поиска решения вашей проблемы).
Сказав это, предполагаю, что проблема, с которой вы сталкиваетесь, заключается в следующем:
- Вы работаете (постоянно или временно) на оборудовании вашего работодателя, либо из дома, либо на территории клиента.
- При этом вы подключаетесь с помощью Cisco Anyconnect, который, как вы описали, направляет ВСЕ интернет-трафик к VPN-шлюзам.
- На данный момент вы не можете подключить клиентскую виртуальную машину к их VPN, и вам нужно и то, и другое для выполнения вашей работы.
На мой взгляд, единственный способ сделать это — вовлечь вашего менеджера и работать с IT-отделами обеих компаний для предоставления решения этой проблемы. Это может (в зависимости от политик безопасности с обеих сторон) означать предоставление специализированных политик безопасности для вашего ноутбука, предоставление вам ДВУХ систем, одной для подключения к вашему работодателю и другой для подключения к вашему клиенту, или наличие ДВУХ виртуальных машин на одном ХОСТЕ – вместо двух физических систем, одна из которых подключена к VPN вашего работодателя, а другая – к вашему клиенту.
Вы можете создать виртуальную машину Linux на этом компьютере и сервер DNS на другой машине. Тогда вы сможете туннелировать свой трафик через DNS. Это не идеально, но будет работать.
Ответ или решение
Проблема с Cisco VPN и отсутствием разделения трафика
Ваша ситуация, связанная с блокировкой всей интернет-трафика при подключении к VPN через Cisco AnyConnect, является распространенной и вызывает много вопросов, особенно в контексте работы с виртуальными машинами и ограничениям, накладываемыми корпоративными политиками. Рассмотрим вашу проблему и потенциальные решения по порядку.
1. Возможность вашей конфигурации
Вы предложили установить VirtualBox для запуска Windows 10 в качестве гостевой машины, использование USB-интерфейса для подключения внешнего Wi-Fi адаптера и таким образом обойти блокировку трафика со стороны Cisco VPN. Это технически возможно, но с несколькими ключевыми оговорками:
-
Сетевые политики Cisco AnyConnect: Как правильно было замечено, AnyConnect осуществляет контроль над сетевыми подключениями. Программу можно настроить так, чтобы она перехватывала все сетевые запросы на уровне хоста, что может привести к блокировке любого нового соединения, созданного через виртуальную машину.
-
Функциональность VirtualBox: Виртуализация также может иметь свои ограничения. Некоторые версии Cisco AnyConnect особенно разработаны для распознавания виртуализированных сред, и это может вызвать дополнительные проблемы при использовании VMs для обхода ограничений.
2. Возможность достижения желаемого результата
Ваше предложение, хотя и может быть реализуемым, скорее всего не обеспечит постоянного решения вашей проблемы. AnyConnect может заблокировать ваши попытки использовать другой адаптер или интернет-соединение через гостевую машину из-за своих функций контроля.
3. Использование гостевой машины как шлюза
Идея использовать Windows 10 в качестве шлюза или прокси-сервера для хоста кажется привлекательной, но она требует более глубокой конфигурации сети и установки соответствующих прокси-серверов. Однако такая настройка потребует дополнительных ресурсов и также может столкнуться с политиками блокировки от Cisco AnyConnect. Если в Cisco настроены строгие параметры безопасности, они могут блокировать маршрутизацию трафика через прокси-сервер или определенные сетевые конфигурации.
4. Обфускация и безопасность трафика
Что касается использования обфускации для сокрытия интернет-трафика, важно понимать, что любое вмешательство может привести к юридическим или дисциплинарным последствиям. Попытки обойти установленные безопасные политики могут рассматриваться как нарушение условий использования, и это, безусловно, не является рекомендуемым решением.
Рекомендации
Наилучшее решение данной проблемы состоит в том, чтобы открыто обсудить ситуацию с вашей IT-службой или руководством. Возможно, существуют альтернативные варианты, которые соответствуют требованиям безопасности вашей компании и клиента. Рассмотрите возможности использования двух отдельных систем — одна для подключения к VPN клиента, другая для личного использования.
Необходимо также помнить, что работа с многими соединениями VPN и виртуальными машинами может серьезно увеличить риски для безопасности и функциональности. Сотрудничество с IT-поддержкой позволит остановить возможные конфликты и поможет разработать легитимное решение, соответствующее политике безопасности.
В заключение, важно соблюдать установленные бизнес-практики и действовать в рамках требований безопасности, чтобы избежать негативных последствий как дляской безопасности вашего рабочего места, так и для вашей профессиональной репутации.