Cisco AnyConnect SSL VPN客户端允许本地LAN访问，但不允许在其他多宿主服务器上

我们有一台用于通过Cisco SSL VPN（\\speeder）连接的机器。

我可以对我们speeder进行ping 操作10.0.0.3：

上的路由表\\speeder显示了我们分配给它的多个IP地址：

与Cisco AnyConnect VPN客户端连接后：

我们不能再ping \\speeder：

并且尽管有Cisco VPN适配器的新路由条目，但连接后没有修改现有路由条目：

可以预料，我们无法在Cisco VPN适配器（192.168.199.20）上 ping Speeder的IP地址，因为它位于与我们的网络不同的子网上（我们是10.0.xx 255.255.0.0），即：

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

我们遇到的问题是我们无法在以下位置ping 现有 IP地址\\speeder：

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.108
Pinging 10.0.1.108 with 32 bytes of data:
Request timed out.

等等

有趣的是，也许可以提供一个线索，就是我们可以与之通信的一个地址：

我们可以 ping 此地址并与之通信：

C:\Users\ian.AVATOPIA>ping 10.0.1.4
Pinging 10.0.1.4 with 32 bytes of data:
Reply from 10.0.1.4: bytes=32 time<1ms TTL=128

是什么让这一个 IP地址，特别？这个IP地址具有成为“主”地址的优点：

与我们使用的地址相反，它们是“附加”地址：

综上所述，当Cisco AnyConnect VPN客户端连接时，它将阻止我们使用与该计算机关联的唯一地址。

我们需要思科客户端停止这样做。

有谁知道如何使Cisco AnyConnect SSL VPN客户端停止这样做？

注意：F5 Networks的Firepass SSL VPN不会遇到相同的问题。

我们已经与Cisco联系，他们说不支持此配置。

几周前，我向思科报告了Cisco Bug ID CSCts12090（需要CCO）。我大约6个月前才开始使用AnyConnect，并且仅使用3.0版及更高版本。似乎您使用的是3.0之前的版本。

无论如何，我报告的错误非常相似（但更糟）。在某些情况下，将多个IP分配给本地NIC时，AnyConnect无法成功连接。请参阅前面链接的完整错误报告，以获取完整详细信息。这是一个已确认的错误，将在AC 3.1中修复。正如我所知，AC 3.1承诺将对本地路由表更新代码进行相当大的改写，以解决此问题以及与AC进行一系列其他怪癖。

尽管您遇到的问题与我在CSCts12090中报告的问题不完全相同，但它确实很相似。

Cisco VPN适配器的特殊之处在于，在“默认”模式下，它旨在通过隧道链路发送网络流量的每最后一位。我镜像了该配置以进行测试，实际上，普通的隧道甚至都不允许我ping本地接口的主地址。

但是，对于拆分隧道，VPN适配器仅在其中处理指定网络的流量，因此似乎对于辅助地址非常有用。

如果可以，将连接的配置更改为拆分隧道；如果您的端点是ASA，则它将是split-tunnel-policy和split-tunnel-network-list相关命令中的命令group-policy。