Ich versuche, eine Verbindung zu einem Business-VPN (Cisco AnyConnect) herzustellen. Ich verwende Openconnect und es wurde eine Verbindung hergestellt. Diese Verbindung wird auch vom ip addBefehl erkannt. Die Standardroute ip routescheint laut wlp5s0 zu sein. Wie konfiguriere ich Openconnect so, dass es statt dieser Route die VPN-Route auswählt? Mein Problem ist, dass sich meine IP-Adresse nicht ändert, sobald ich eine Verbindung zum VPN hergestellt habe. Ich habe die Terminalversion openconnectund die Gnome-GUI-Installation für Cisco ausprobiert. Bei beiden das gleiche Problem.
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
3: wlp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether YY:YY:YY:YY:YY:YY brd ff:ff:ff:ff:ff:ff
inet 192.111.111.111/24 brd 192.111.111.255 scope global dynamic noprefixroute wlp5s0
valid_lft 86208sec preferred_lft 86208sec
inet6 ffff::ffff:ffff:ffff:ffff/64 scope link noprefixroute
valid_lft forever preferred_lft forever
4: vpn0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1300 qdisc fq_codel state UP group default qlen 500
link/none
inet 192.111.11.111/22 brd 192.111.111.255 scope global noprefixroute vpn0
valid_lft forever preferred_lft forever
inet6 eeee::eeee:eeee:eeee:eeee/64 scope link stable-privacy
valid_lft forever preferred_lft forever
Da ich nicht ganz sicher bin, was ich bedenkenlos weitergeben kann und was nicht, habe ich einfach einige Einträge geändert.
Dies ist der ip routeEintrag
default via 192.168.1.1 dev wlp5s0 proto dhcp metric 600
10.0.0.0/8 dev vpn0 scope link
10.0.0.2 dev vpn0 scope link
10.0.0.3 dev vpn0 scope link
<office ip cidr>/23 dev vpn0 scope link
<office ip> via 192.168.1.1 dev wlp5s0 src 192.168.1.17
169.254.0.0/16 dev wlp5s0 scope link metric 1000
172.16.0.0/12 dev vpn0 scope link
<Company IP CIDR>/22 dev vpn0 scope link
<Company IP CIDR>/24 dev vpn0 scope link
192.168.0.0/16 dev vpn0 scope link
192.168.1.0/24 dev wlp5s0 proto kernel scope link src 192.168.1.17 metric 600
192.168.20.0/22 dev vpn0 scope link
Ich versuche, 10.12.122.197 zu erreichen, das sich im selben LAN wie das VPN befinden sollte.
Es läuft übrigens Ubuntu 19.10.
Antwort1
Die erforderlichen Änderungen, um Ihr Ziel zu erreichen, hängen von der Konfiguration auf der VPN-Serverseite ab. Möglicherweise ist es nicht so konfiguriert, dass Datenverkehr an externe Netzwerke weitergeleitet wird.
Sie können dies testen, indem Sie auf dem Client-System einen Routeneintrag hinzufügen:
# ip route add default dev vpn0
Versuchen Sie dann einen Traceroute zu einem externen Netz:
# traceroute 1.1.1.1
Eine Möglichkeit, eine solche Route an die Clients weiterzuleiten, besteht darin, Split-Tunneling auf dem Cisco-Gerät einzurichten, eine Split-Tunnel-ACL anzugeben und innerhalb dieser ACL die entsprechenden Regeln hinzuzufügen. Diese Regeln werden beim Herstellen der Verbindung als Routen an die Clients weitergeleitet.
Sollte das Hinzufügen der Route nicht funktionieren, muss die Konfiguration auf dem VPN-Server angepasst werden.