Как подружить Cisco AnyConnect и Outline?

Question

[Wbozon]

Здравствуйте!
Для подключения к корпоративным ресурсам используется Cisco AnyConnect Secure Mobility Client, но при одновременном подключении с Outline доступ к корп. ресурсам пропадает. Если сначала подключиться по Outline, то Cisco вообще не хочет подключаться. Админы утверждают, что одновременно пользоваться обоими клиентами невозможно. В сетевых делах я совсем не специалист и прошу вашего совета. Собрал всю статистику какую смог.

Cisco AnyConnect Secure Mobility Client

VPN Stats
Connection State: Connected
Bytes Received: 127724
Bytes Sent: 96269
Compressed Bytes Received: 0
Compressed Bytes Sent: 0
Compressed Packets Received: 0
Compressed Packets Sent: 0
Control Bytes Received: 7939
Control Bytes Sent: 8139
Control Packets Received: 34
Control Packets Sent: 59
Encrypted Bytes Received: 146720
Encrypted Bytes Sent: 153482
Encrypted Packets Received: 387
Encrypted Packets Sent: 683
Inbound Bypassed Packets: 0
Inbound Discarded Packets: 0
Outbound Bypassed Packets: 0
Outbound Discarded Packets: 0
Packets Received: 348
Packets Sent: 618
Session Disconnect: None
Time Connected: 00:12:34
Management Connection State: Disconnected (user tunnel active)

Protocol Info
Active Protocol
Protocol Cipher: DHE_RSA_AES_256_SHA256
Protocol Compression: None
Protocol State: Connected
Protocol: DTLSv1.2
Inactive Protocol
Protocol Cipher: DHE_RSA_AES_256_SHA256
Protocol Compression: None
Protocol State: Connected
Protocol: TLSv1.2

Tunnel Mode (IPv4): Split Include
Tunnel Mode (IPv6): Drop All Traffic
Dynamic Tunnel Exclusion: None
Dynamic Tunnel Inclusion: None

Routes
Secure Routes
172.*.*.* 22
172.*.*.* 24
172.*.*.* 24
172.*.*.* 24
172.*.*.* 22
172.*.*.* 22
172.*.*.* 24
172.*.*.* 22
172.*.*.* 24
172.*.*.* 24
172.*.*.* 24
172.*.*.* 24
172.*.*.* 23
172.*.*.* 16
172.*.*.* 32
172.*.*.* 32
192.*.*.* 24
192.*.*.* 24

Non-tunneled Routes
0.0.0.0 0

Firewall Rules

OS Version
Windows 10 : WinNT 10.0.19044

Windows IP Configuration

Host Name . . . . . . . . . . . . : hidden
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : hidden
IGD_Rostelecom

Ethernet adapter Ethernet 3:

Connection-specific DNS Suffix . : hidden
Description . . . . . . . . . . . : Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
Physical Address. . . . . . . . . : hidden
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : hidden(Preferred)
Link-local IPv6 Address . . . . . : hidden(Preferred)
IPv4 Address. . . . . . . . . . . : 172.*.*.*(Preferred)
Subnet Mask . . . . . . . . . . . : 255.*.*.*
Default Gateway . . . . . . . . . : ::
DHCPv6 IAID . . . . . . . . . . . : hidden
DHCPv6 Client DUID. . . . . . . . : hidden
DNS Servers . . . . . . . . . . . : 172.*.*.*
172.*.*.*
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . : IGD_Rostelecom
Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller
Physical Address. . . . . . . . . : hidden
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.*.*.*(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 10  ЇаҐ«п 2022 Ј. 19:46:52
Lease Expires . . . . . . . . . . : 12  ЇаҐ«п 2022 Ј. 11:25:56
Default Gateway . . . . . . . . . : 192.168.0.1
DHCP Server . . . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 1.1.1.1
1.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter outline-tap0:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Windows Adapter V9
Physical Address. . . . . . . . . : hidden
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

===========================================================================
Interface List
12...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
14...1c 6f 65 aa c4 e5 ......Realtek PCIe GbE Family Controller
20...00 ff 45 56 c7 c5 ......TAP-Windows Adapter V9
1...........................Software Loopback Interface 1
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.*.*.* 192.*.*.* 25
1.0.0.1 255.255.255.255 192.*.*.* 192.*.*.* 26
1.1.1.1 255.255.255.255 192.*.*.* 192.*.*.* 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.*.*.* 255.255.252.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.255 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.255 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.252.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.252.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.252.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.255.0 On-link 172.*.*.* 257
172.*.*.* 255.255.255.255 On-link 172.*.*.* 257
172.*.*.* 255.255.255.255 On-link 172.*.*.* 257
172.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.254.0 172.*.*.* 172.*.*.* 2
172.*.*.* 255.255.0.0 172.*.*.* 172.*.*.* 2
178.*.*.* 255.255.255.255 192.*.*.* 192.*.*.* 26
192.*.*.* 255.255.255.0 On-link 192.*.*.* 281
192.*.*.* 255.255.255.255 On-link 192.*.*.* 26
192.*.*.* 255.255.255.255 On-link 192.*.*.* 281
192.*.*.* 255.255.255.255 On-link 192.*.*.* 281
192.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
192.*.*.* 255.255.255.0 172.*.*.* 172.*.*.* 2
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.*.*.* 281
224.0.0.0 240.0.0.0 On-link 172.*.*.* 10000
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.*.*.* 281
255.255.255.255 255.255.255.255 On-link 172.*.*.* 10000
===========================================================================
Persistent Routes:
None

IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
12 26 ::/0 On-link
1 331 ::1/128 On-link
12 281 fe80::/64 On-link
12 281 hidden
On-link
12 281 hidden
On-link
12 281 hidden
On-link
1 331 ff00::/8 On-link
===========================================================================
Persistent Routes:
None

Outline stats

Connection-specific DNS Suffix:
Description: TAP-Windows Adapter V9
Physical Address: ‎hidden
DHCP Enabled: No
IPv4 Address: 10.*.*.*
IPv4 Subnet Mask: 255.255.255.0
IPv4 Default Gateway:
IPv4 DNS Servers: 1.1.1.1, 9.9.9.9
IPv4 WINS Server:
NetBIOS over Tcpip Enabled: Yes
Link-local IPv6 Address: hidden
IPv6 Default Gateway:
IPv6 DNS Server:

Comments

[Strabbo]

А какой у вас план?

Админы утверждают, что одновременно пользоваться обоими клиентами невозможно.

Вы пойдете к админам с линком на вопросы и ответы на тостере ? :)

[AlexVWill]

что одновременно пользоваться обоими клиентами невозможно

возможно так и есть, а возможно просто надо маршруты развести... какая в итогу конечная цель то использования обоих протоколов?

[Wbozon]

Strabbo, нет, в качестве аргумента тостер приводить не буду, чтобы не бить по самолюбию. Возможно сошлюсь на знакомого инженера и по-дружески попробую решить эту проблему. Есть подозрение, что админам лениво этим заниматься, когда и так всё работает или не хватает квалификации, но это только мои догадки.

[Wbozon]

AlexVWill, конечная цель – возможность пользоваться одновременно корпоративными ресурсами для работы, но и иметь доступ к заблокированным ресурсам на фоне всего происходящего в стране. По cisco осуществляется доступ до корп. ресурсов, а outline я использую в личных целях. Работаю удалённо на своём личном компьютере.

[AlexVWill]

Wbozon, понятно. Подключи оба протокола, и покажи в консоли вывод команд
ip a
ip r

[Strabbo]

Wbozon, никогда не использовал outline, но есть одна догадка, если на корпоративные ресурсы ходите по доменным именям, nо в первом методе проверьте какой днс сервер использует ваш комп. может он использует днс сервер от outline.

[AlexVWill]

Strabbo, это легко проверить
dig google.com
dig 8.8.8.8 google.com

[Strabbo]

AlexVWill, это я знаю) пусть проверит)

[Wbozon]

AlexVWill, не смог понять аналог ip r в среде windows. Выкладываю, что есть.

ipconfig /all

Microsoft Windows [Version 10.0.19044.1620]
(c) Microsoft Corporation. All rights reserved.

C:\WINDOWS\System32>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : USER
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : somesite.ru
IGD_Rostelecom

Ethernet adapter Ethernet 3:

Connection-specific DNS Suffix . : somesite.ru
Description . . . . . . . . . . . : Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
Physical Address. . . . . . . . . : 00-05-9A-3C-7A-00
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::a611:c476:233a:50dd%12(Preferred)
Link-local IPv6 Address . . . . . : fe80::d961:c8ef:11fa:7592%12(Preferred)
IPv4 Address. . . . . . . . . . . : 172.16.200.48(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : ::
DHCPv6 IAID . . . . . . . . . . . : 134219162
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-28-52-A5-F0-1C-6F-65-AA-C4-E5
DNS Servers . . . . . . . . . . . : 172.16.2.1
172.16.2.11
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . : IGD_Rostelecom
Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller
Physical Address. . . . . . . . . : 1C-6F-65-AA-C4-E5
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.0.13(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 10 апреля 2022 г. 19:46:52
Lease Expires . . . . . . . . . . : 12 апреля 2022 г. 21:13:04
Default Gateway . . . . . . . . . : 192.168.0.1
DHCP Server . . . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 1.1.1.1
9.9.9.9
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter outline-tap0:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Windows Adapter V9
Physical Address. . . . . . . . . : 00-FF-45-56-C7-C5
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::ed9d:bf87:f7b2:33ef%20(Preferred)
IPv4 Address. . . . . . . . . . . : 10.0.85.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCPv6 IAID . . . . . . . . . . . : 335609669
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-28-52-A5-F0-1C-6F-65-AA-C4-E5
DNS Servers . . . . . . . . . . . : 1.1.1.1
9.9.9.9
NetBIOS over Tcpip. . . . . . . . : Enabled

[Wbozon]

AlexVWill,

8.8.8.8 google.com

Microsoft Windows [Version 10.0.19044.1620]
(c) Microsoft Corporation. All rights reserved.

C:\WINDOWS\System32>dig google.com

; <<>> DiG 9.16.27 <<>> 8.8.8.8 google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: FORMERR, id: 14852
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 02532b174336c3f7 (echoed)
;; QUESTION SECTION:
;8.8.8.8. IN A

;; Query time: 5 msec
;; SERVER: 172.16.2.1#53(172.16.2.1)
;; WHEN: Mon Apr 11 21:40:22 Russia TZ 2 Standard Time 2022
;; MSG SIZE rcvd: 48

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: FORMERR, id: 30844
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 02532b174336c3f7 (echoed)
;; QUESTION SECTION:
;google.com. IN A

;; Query time: 6 msec
;; SERVER: 172.16.2.1#53(172.16.2.1)
;; WHEN: Mon Apr 11 21:40:22 Russia TZ 2 Standard Time 2022
;; MSG SIZE rcvd: 51

[AlexVWill]

Wbozon, а, с виндой не дружу, сорри... Я думал linux.
Короче, там должна быть галочка на сетевом интерфейсе, который создает туннель - "использовать только для ресурсов этой сети" или наподобие того. Ну, а если нет, то надо разводить пакеты по марштурам, например для доступа в локальную сеть Сиськи - пакеты направлять по маршруту 172.16.200.48, а для интернет и всего прочего - на 10.0.85.2, но как это сделать в винде, и как назначить мрршрут на 10.0.85.2 главным, я уже не помню.

[Wbozon]

AlexVWill, я так понимаю вы про эти настройки? Только что надо снять/выставить на обоих интерфейсах?

[AlexVWill]

Wbozon, честно говоря не помню, погуглил вот

https://winitpro.ru/index.php/2020/04/09/net-dostu...


Но не факт что это то самое. С виндой вообще все по другому, как там маршруты прописывать или их метрики ставить я не в курсе.

Answer 1

[ky0]

Если оба впна хотят у вас установить свой маршрут 0.0.0.0/0, то одновременно без приседаний никак. Если же эниконнект пушит только отдельные адреса/подсети - проблем быть не должно. Лично у меня спокойно сосуществуют опенвпн, wireguard и anyconnect.