Чувствую, что я *НАМНОГО* близко… Что я пропустил, чтобы сделать работу нативного VPN Windows 10 С ИНТЕРНЕТОМ? Он входит в VPN, аутентификация проходит успешно, я могу получить доступ к сайту SAAS, который считается “внутренним”, и к ресурсам филиала АОК. Но мое сетевое соединение сразу переключается на “нет интернета”, и я не могу получить доступ ни к чему, кроме этого корпоративного контента.
Используя старый клиент Cisco VPN, мы можем получить доступ как к корпоративным ресурсам, так и к интернету - разве это не указывает на то, что разделение туннелей уже включено?
ASA v 9.1(7)29 и ASDM 7.5(1)
++++++++++++++++
11.04.2019: ДОБАВЛЕНО: ресурсы “внутренние” доступны только по IP-адресу в данный момент. И интернета - я даже не могу посетить публичные веб-сайты по известным IP-адресам. Файл .PBK имеет IpPrioritizeRemote=1 (галочка, чтобы использовать шлюз по умолчанию на удаленной сети). Если я отключу это, интернет работает, адреса разрешаются, но мне отказано в доступе к внутренним ресурсам.
Клиент - это то, что управляет разделением туннеля, и Cisco уже не поддерживает старый клиент IPsec VPN с Windows 7. Заплатите $100 за лицензию AnyConnect и делайте все правильно, переключитесь на SSL - любой, кто останавливается в отеле, скажет вам спасибо.
Похоже, у вас не настроена hairpin NAT для ваших клиентов. Это также не похоже на разделение туннелей, скорее вы маршрутизируете весь трафик через VPN.
Настройте hairpin NAT на вашем ASA, чтобы NAT-ировать VPN-трафик обратно через внешний интерфейс.
Источник: бывший сетевой инженер, и я много раз решал эту проблему у клиентов.
Cisco явно переключает клиентов с IPsec клиента VPN на лицензированный per-пользователю “SSL VPN”, что стало фактором в нашем закрытии Cisco. На самом деле, им понадобилось гораздо больше времени, чтобы сделать этот поворот, чем я ожидал, увидев самое начало конца в 2001 году.
И да, некоторые потребительские устройства (например, публичный Wi-Fi) могут блокировать IPv4 типы 50 и 51, поэтому IPsec/IKE не работает, но они не блокируют tcp/443, поэтому работает “SSL VPN”. Но Cisco AnyConnect использует dTLS по UDP всякий раз, когда может, потому что окно TCP и congestion — это проблема, когда вы запускаете TCP внутри TCP. Мы никогда не считали “SSL VPN” панацеей; на некоторых uplinks IPsec VPN работал, а AnyConnect — нет, и наоборот.
Мы давно активно прекращаем использование клиентских VPN. Огромная нагрузка на поддержку в целом, конфликты между VPN-думанными при одновременном запуске, и высокий уровень совпадения IPv4.