Cisco AnyConnect VPN - локальный принтер

Моя потребность: Я хотел бы, чтобы локальный сетевой принтер работал, когда я использую свою VPN с VPN-клиентом cisco AnyConnect Sure Mobility Client.

Когда я не подключился к VPN, я могу проверить связь с принтером и использовать его, но когда VPn включен, таблицы маршрутизации меняются, и я больше не могу проверять связь и использовать принтер.

Наша система:

  • Все ПК и принтер подключены по ethernet к одному хабу, мы работаем со статическими IP.
  • IP-адрес принтера: 192.168.1.49
  • Шлюз по умолчанию: 192.168.1.1

Файл конфигурации клиента Cisco (я не могу предоставить вам весь файл, потому что в нем есть конфиденциальная информация):

    <ClientInitialization>
    <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
    <AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
    <ShowPreConnectMessage>false</ShowPreConnectMessage>
    <CertificateStore>All</CertificateStore>
    <CertificateStoreOverride>false</CertificateStoreOverride>
    <ProxySettings>Native</ProxySettings>
    <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
    <AuthenticationTimeout>12</AuthenticationTimeout>
    <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
    <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
    <LocalLanAccess UserControllable="true">false</LocalLanAccess>
    <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
    <AutoReconnect UserControllable="false">true
        <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend</AutoReconnectBehavior>
    </AutoReconnect>
    <AutoUpdate UserControllable="false">false</AutoUpdate>
    <RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
    <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
    <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
    <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
    <PPPExclusion UserControllable="false">Automatic
        <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
    </PPPExclusion>
    <EnableScripting UserControllable="false">false</EnableScripting>
    <CertificateMatch>
        <ExtendedKeyUsage>
            <ExtendedMatchKey>ServerAuth</ExtendedMatchKey>
        </ExtendedKeyUsage>
    </CertificateMatch>
    <EnableAutomaticServerSelection UserControllable="true">false
        <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
        <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
    </EnableAutomaticServerSelection>
    <RetainVpnOnLogoff>false
    </RetainVpnOnLogoff>
</ClientInitialization>

Что я пробовал:

  • включение «Включить доступ к локальной сети» на вкладке настроек. -> не работает
  • установите для параметра LocalLanAccess в XML-файле конфигурации значение true, но когда я подключаюсь к VPN, этот параметр автоматически сбрасывается на false.
  • маршрут добавить 192.168.1.49 маска 255.255.255.255 192.168.1.1 -> не работает

Мои знания о сети ограничены, надеюсь найти способ решить проблему.


configuration vpn local cisco
person Nicolas    schedule 17.03.2014    source источник

Ответы (4)


arrow_upward
2
arrow_downward

Похоже, что соединение VPN-клиента настроено как «Полный туннель». Это означает, что все от компьютера пользователя туннелируется к VPN-соединению, пока оно активно.

Это может вызвать проблемы с использованием локальных ресурсов в локальной сети пользователей в тот момент, а также, если они не настроены "должным образом", может не позволить использовать Интернет одновременно.

Вот два решения, которые могут помочь:

1) Перенастройте соединение VPN-клиента так, чтобы оно использовало раздельное туннелирование. Пока используется разделенное туннелирование, компьютер пользователей VPN-клиента будет перенаправлять только трафик, предназначенный для определенных сетей, к VPN-соединению, а весь остальной трафик либо остается в локальной сети, либо направляется к локальному Интернет-соединению, как обычно.

2) Настройте подключение VPN-клиента так, чтобы оно также разрешало подключение к Интернету через подключение VPN-клиента. В этом случае Интернет-трафик пользователей сначала будет перемещаться на удаленный сайт через VPN, а затем, возможно, «шпилькой» в Интернет через внешние устройства VPN клиентов.

При подключении к VPN-клиенту вы можете проверить, как настроена VPN, просмотрев раздел «Статистика» программного обеспечения VPN. Он должен содержать раздел для маршрутов. Проверьте, что написано в разделе маршрутов. (может отличаться в зависимости от того, используете ли вы Cisco VPN Client или Cisco AnyConnect VPN Client)

Если есть

0.0.0.0 0.0.0.0 = Это означает, что весь трафик перенаправляется в VPN, пока он активен

Надеюсь, это поможет.

person Rose Ab    schedule 24.03.2014
comment
Перенастройте соединение VPN-клиента так, чтобы оно использовало раздельное туннелирование. Как это сделать? - person jrouquie; 02.11.2017

arrow_upward
1
arrow_downward

Вам необходимо включить доступ к локальной сети. Редактирование XML конфигурации - неправильный способ сделать это.

На языке AnyConnect мы называем конфигурационный XML профилем клиента. Каждый раз, когда вы подключаетесь к головной станции VPN; AnyConnects проверяет наличие обновленной версии программного обеспечения AnyConnect или профиля клиента. Если на сервере доступна другая версия профиля клиента (ASA); AnyConnect заменит вашу локальную версию той, которая доступна на сервере.

Это объясняет, почему это происходит.

установите для параметра LocalLanAccess в XML-файле конфигурации значение true, но> когда я подключаюсь к VPN, этот параметр автоматически сбрасывается на> false.

Вам необходимо связаться с администратором сети и запросить доступ к локальной сети. Если вы являетесь администратором сети, обновите профиль, который присутствует на ASA. Это легко сделать с помощью ASDM.

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70847-local-lan-pix-asa.html

person teardrop    schedule 22.10.2015

arrow_upward
0
arrow_downward

Вероятно, вы настроили "туннелирование всего" только на туннель к указанным сетям - это означает, что вы сможете перемещаться по сети локально, и она не будет проходить через туннель.

person user3443676    schedule 20.03.2014
comment
Добро пожаловать в Stackoverflow! Ваш ответ может быть правильным, но его можно улучшить, добавив ссылку на авторитетный источник tunneling all конфигурации, на которую вы ссылаетесь. - person Patrick M; 21.03.2014

arrow_upward
-1
arrow_downward 

<LocalLanAccess UserControllable="true">false</LocalLanAccess>

Эта строка в вашем XML-файле не позволяет пользователю управлять доступом к локальной сети.

person network cruiser    schedule 04.03.2015
comment
Это должен быть комментарий. Не ответ, так как он не решает проблему OP. - person user66001; 22.05.2015
comment
Эта строка означает только то, что эта опция отключена администратором VPN. - person user1011138; 26.10.2017