Я хочу использовать VPN и доступ к LAN одновременно (использующий локальные принтеры, доли SMB...) Теоретически, задача должна быть легкой:
Цели всего локального IP (192.*), должен перейти непосредственно к eth0, остальным к виртуальному устройству. Поскольку я получаю статический "глобальный" IP от VPN, не будет никакой неоднозначности, и маршрутизация не будет сложной.
Должно быть 2 сервера DNS: локальный и тот обеспечиваются через vpn.
При отсутствии соединения с VPN у меня есть 3 маршрута (dest, маршрутизатор, iface):
При соединении с VPN у меня есть 5 маршрутов:
таким образом должно быть возможно получить доступ к LAN, но при проверке с помощью ping-запросов локального IP (как раз когда корень) я добираюсь
ping: sendmsg: Operation not permitted
Как я могу сделать эту работу с (X) Ubuntu 10.10 и Cisco Anyconnect VPN?
Обратите внимание, что, так как Michał Šrajer дал обходное решение, я теперь ищу намеченное решение (использующий конфигурацию xml). Редактируя /opt/cisco/vpn/profile/AnyConnect-TargetVPN-Default.xml
это переопределяется с каждым установленным соединением VPN. Я играл вокруг с <LocalLanAccess>
и <PPPExclusion>
как упомянуто в Документация (PDF) без любого заслуживающего упоминания успеха.
Переопределение /etc/resolv.conf
с соответствующей конфигурацией для LAN и vpn позволяет vpanagentd использовать весь CPU. Поскольку клиент VPN изменяет тот файл в запуске, необходимо изменить его "живой". Как обходное решение я использую измененный /etc/hosts
файл.
это довольно ужасно, но работает на меня:
iptables-save | grep -v DROP | iptables-restore
iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT
Я устал от ограниченного клиента на 32 бита для Ubuntu и испытал openconnect, который совместим с сервером VPN Anyconnect. Так как openconnect интегрируется в администратора сети, установка маршрутов по умолчанию была подпругой. Это также позволяет Вам устанавливать пользовательские области поиска и дюйм/с сервера от самого интерфейса NM. Если бы можно заставить это соединяться со шлюзом VPN без проблем, я предложил бы полностью заменить клиент Anyconnnect OpenConnect...