openconnect를 통해 모든 트래픽 라우팅

tag-icon tag-icon vpn iproute cisco openconnect
openconnect를 통해 모든 트래픽 라우팅

기업 VPN(Cisco AnyConnect)에 연결하려고 합니다. openconnect를 사용하고 있으며 연결이 설정되었습니다. 이 ip add명령을 사용하면 연결도 볼 수 있습니다. 기본 경로는 ip routewlp5s0인 것 같습니다. 이 경로를 사용하지 않고 대신 VPN 경로를 선택하도록 openconnect를 구성하려면 어떻게 해야 합니까? 내가 겪고 있는 문제는 일단 VPN에 연결되면 내 IP 주소가 변경되지 않는다는 것입니다. Cisco의 터미널 openconnect버전과 gnome GUI 설치를 시도해 보았습니다 . 둘 다 동일한 문제가 있습니다.

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eno1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
3: wlp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether YY:YY:YY:YY:YY:YY brd ff:ff:ff:ff:ff:ff
    inet 192.111.111.111/24 brd 192.111.111.255 scope global dynamic noprefixroute wlp5s0
       valid_lft 86208sec preferred_lft 86208sec
    inet6 ffff::ffff:ffff:ffff:ffff/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
4: vpn0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1300 qdisc fq_codel state UP group default qlen 500
    link/none 
    inet 192.111.11.111/22 brd 192.111.111.255 scope global noprefixroute vpn0
       valid_lft forever preferred_lft forever
    inet6 eeee::eeee:eeee:eeee:eeee/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

공유해도 안전한 것과 그렇지 않은 것이 확실하지 않아서 몇 가지 항목만 변경했습니다.

이것은 ip route항목 입니다

default via 192.168.1.1 dev wlp5s0 proto dhcp metric 600 
10.0.0.0/8 dev vpn0 scope link 
10.0.0.2 dev vpn0 scope link 
10.0.0.3 dev vpn0 scope link 
<office ip cidr>/23 dev vpn0 scope link 
<office ip> via 192.168.1.1 dev wlp5s0 src 192.168.1.17 
169.254.0.0/16 dev wlp5s0 scope link metric 1000 
172.16.0.0/12 dev vpn0 scope link 
<Company IP CIDR>/22 dev vpn0 scope link 
<Company IP CIDR>/24 dev vpn0 scope link 
192.168.0.0/16 dev vpn0 scope link 
192.168.1.0/24 dev wlp5s0 proto kernel scope link src 192.168.1.17 metric 600 
192.168.20.0/22 dev vpn0 scope link

VPN과 동일한 LAN에 있어야 하는 10.12.122.197에 액세스하려고 합니다.

그런데 Ubuntu 19.10을 실행 중입니다.

답변1

원하는 효과를 얻는 데 필요한 변경 사항은 VPN 서버 측 구성에 따라 다릅니다. 외부 네트워크로 트래픽을 전달하도록 구성되지 않았을 수 있습니다.

클라이언트 시스템에 라우팅 항목을 추가하여 이를 테스트할 수 있습니다.

# ip route add default dev vpn0

그런 다음 외부 네트워크에 대한 경로 추적을 시도합니다.

# traceroute 1.1.1.1

이러한 경로를 클라이언트에 푸시하는 한 가지 방법은 Cisco 장치에서 분할 터널링을 설정하고, 분할 터널링 ACL을 지정하고, ACL에 적절한 규칙을 추가하는 것입니다. 이러한 규칙은 연결 시 클라이언트에 경로로 푸시됩니다.

경로를 추가해도 작동하지 않으면 VPN 서버에서 구성을 조정해야 합니다.

관련 정보