Cisco client VPN e local lan...

[SoftWd]

Salve, vi spiego il mio grosso problema.

La rete dove lavoro è così composta:
* rete interna
* stampante di rete
* internet free non filtrato ai dipendenti

c'è un inghippo: io per lavorare devo connettermi ad una vpn cisco remota che sta in un altra sede, è qui il problema, i drivers client cisco vpn per windows mi bloccano completamente la rete intranet, non permettendomi ne di stampare con la stampate di rete ne di navigare con internet full della mia azienda, ma si naviga con quella remota FILTRATISSIMA per di +.

Ho letto varie info in giro ke è il server vpn ad abilitare i vari client ke si connettono, alle classi interne subnet, per motivi di sicurezza, solo ke l'admin di questa rete remota nn ci può dare x ovvie ragioni accesso alla nostra lan interna.

Sapete se c'è un modo per bypassare il client vpn cisco magari con un driver layer ke sta al di sotto tra windows drivers->drivers cisco in modo da poter dirottare il traffico ke voglio prima ke arrivi al client cisco ?

[V4N3X]

Ciao. Il tuo post non è il massimo della chiarezza, comunque, se ho capito bene (ancora non capisco come l'admin di una rete remota possa dare accesso alla tua rete interna...ma è remota o interna??) per il problema delle stampanti e delle condivisioni prova a controllare questo settaggio:
Pannello di Controllo> Connessioni di rete; clicchi sulla tua connessione LAN col destro, quindi Proprietà (del protocollo TCP/IP)>Avanzate , e nella casellina "metrica automatica" togli il segno di spunta, ed inserisci il valore 31.

[SoftWd]

ti spiego brevemente:

una volta che il client vpn si collega al server remoto, blocca tutti gli accessi a indirizzi diversi dalla maskera della subnet vpn, quindi accessi a 192.168.x.x (rete locale-stampante) vengono bloccate e tutto il traffico restante, direzionato a 10.x.x.x cioè alla vpn.

E' un layer ethernet sto driver cisco che blocca tutto.

[SoftWd]

"metrica automatica"

a ke serve x l'esattezza ?

[SoftWd]

Ho provato con la metrica cmq, non va.

[V4N3X]

Su che sistema operativo gira il client?? Che versione di client usi?? La rete da cui cerchi di collegarti è filtratissima da cosa?? Sul SO utilizzato è attivo un qualche firewall/sistema combo di protezione tipo Norton??
Questo problema sembra derivare dal semplice fatto che sotto connessione VPN, il client indirizza automaticamente tutto il traffico attraverso il tunnel, escludendo le altre subnet. Per curiosità, prova ad utilizzare subnet diverse, e controlla che il client abbia l'opzione "Allow local LAN access" attivata.

[SoftWd]

windows 2003 server.
non c'è attivo nessuno firewall ovviamente
client cisco vpn version 4.6.02.0011

cmq mi pare di capire ke nn è chiara la situazione da come mi fai le domande.

è sto cavolo di client che blocca tutto, leggendo sulle doc cisco, sto client riceve le autorizzazioni dal server cisco remoto, pertanto sono loro ke devono abilitarmi alla LOCAL LAN.

[V4N3X]

Quote:

Originariamente inviato da SoftWd

cmq mi pare di capire ke nn è chiara la situazione da come mi fai le domande.

No, stavo solo andando per esclusione; ancora non ho tratto conclusioni. Ovviamente, escluso che si tratti di un problema di configurazione/compatibilità, oppure di una vecchia versione di client senza la funzione di accesso LAN, di un problema di settaggi del TCP/IP o di conflitti con altri software, rimane l'abilitazione allo splitting dei pacchetti da parte del server.
Rimane da capire se il dispositivo che usano in ditta, ha inclusa in sè questa funzione.

[SoftWd]

Il problema secondo me è risolvibile installando un driver di rete in windows ke ha priorità maggiore di questo cisco.

Sai se c'è qcosa del genere ?

[V4N3X]

Dovrei vedere se esiste un bypass, ma non credo; fosse per Linux magari si potrebbero riscrivere i files, ma ne dubito.
Lo splitting deve essere permesso dal server, che permette il transito di pacchetti non crittati SOLO verso i pc che si trovano sulla stessa sottorete, e ogni altro pacchetto indirizzabile al WAN solo attraverso tunnel.
E' un'impostazione di sicurezza: evita che del traffico non autorizzato possa accidentalmente passare attraverso tunnel; se fosse così facile da bypassare, la Cisco non sarebbe Cisco.

[SoftWd]

Si cmq incolpo prima di tutto l'admin remoto ke nn mi da accesso ad un ip (stampante almeno nn dico internet full !), poi critico il fatto ke IO nn sono PROPRIETARIO DI FARE QUELLO KE VOGLIO sui collegamenti di rete del MIO PC !!!

E' uno skifo.

Mi trovo senza stampante e senza internet full, ho solo accesso ad alcuni siti.

[V4N3X]

Per curiosità, prova a fare ancora una cosa: a posto del nome della stampante, sostituisci il suo IP statico nella forma \\x.x.x.x .
Poi spostati in C:\WINDOWS\system32\drivers\etc ed edita con notepad il file lmhosts.
Inserisci i pc verso cui vuoi splittare i pacchetti, nella forma:
192.168.0.3 SERVER1
192.168.0.4 SERVER2
192.168.0.5 SERVER3
Vediamo se cambia qualcosa.
P.S. hai controllato l'opzione "Allow local LAN access" e le eventuali entry nella tavola di routing del client?? Per l'esattezza questa schermata.

[SoftWd]

ecco bravo hai centrato il problema, studiando sto cavolo di client vpn cisco, in quella finestra in particolare dovresti trovare gli indirizzi CHE L'ADMIN TI "CONCEDE" diciamo, io nn ne ho proprio.


cmq nn funzia lmhosts, nn funzia nulla, se nn mi danno quegli indirizzi in local lan, nn c'è nulla da fare è lì, il punto della situazione.

[V4N3X]

Neanche la stampante??Comunque vedo di informarmi meglio stasera; in effetti, andrei anche contro i miei interessi, comunque la cosa ha suscitato la mia curiosità. Io non ho mai avuto problemi di questo tipo: è ovvio che un dipendente della ditta è sempre autorizzato a fare quello che vuole, sulla sua rete. Spesso, alcuni admin si fissano sul pelino, e perdono di vista le travi. Senza contare che alcune limitazioni pesano, di fatto, sulla produttività della ditta, e questo è sicuramente poco auspicabile. Vedo quello che posso trovare. Ciao.

[hmetal]

Quote:

una volta che il client vpn si collega al server remoto, blocca tutti gli accessi a indirizzi diversi dalla maskera della subnet vpn, quindi accessi a 192.168.x.x (rete locale-stampante) vengono bloccate e tutto il traffico restante, direzionato a 10.x.x.x cioè alla vpn.

No qui il problema è un altro. E il client Vpn non c'entra. Il discorso è abbastanza complesso e riguarda il fatto che hai 2 lan (collegate probabilmente in vpn) divise da 2 router. Solamente che tu non è che non hai accesso alla seconda lan (che poi è quella dove fisicamente ti trovi) ma semplicemente che la seconda lan non ha rotte per arrivare a te utilizzando la vpn lan to lan. E' essenzialmente un problema di interrouting. Il client vpn non c'entra.

Quote:

Poi spostati in C:\WINDOWS\system32\drivers\etc ed edita con notepad il file lmhosts.

Non è un problema di risoluzione dei nomi altrimenti non navigherebbe nemmeno su quei pochi siti.

Quote:

a che serve? "metrica automatica"

La metrica è un numero che indica la priorità di utilizzo di una rotta. In una tabella di routing con diverse rotte per la stessa destinzaione, la rotte che verrà usata sara quella con metrica piu bassa. La metrica viene calcolata su diversi parametri (hop, banda del link) a seconda del protocollo di routing utilizzato.

Quote:

IO nn sono PROPRIETARIO DI FARE QUELLO KE VOGLIO sui collegamenti di rete del MIO PC !!!

E' un discorso che non ha senso. La rete non è tua. Se tu utilizzi una rete che non è di tua proprietà devi seguirne le regole.
Se tu vai in automobile nelle strade pubbliche lo fai con la tua macchina ma devi rispettare il codice della strada, non puoi fare quello che vuoi solo perche se nella tua auto. Se sei in un tuo parcheggio privato, ad esempio, puoi andare anche a 300 allora e schiantarti come ti pare e piace, ma sei nel tuo parcheggio o pista.

ciao

[hmetal]

Quote:

Spesso, alcuni admin si fissano sul pelino, e perdono di vista le travi. Senza contare che alcune limitazioni pesano, di fatto, sulla produttività della ditta, e questo è sicuramente poco auspicabile

Ci potrei scrivere libri su questo.

Il pelino è spesso quello che fa la differenza. Ke poi sia magari un admin babbeo puo anche essere.

Ma se stiamo a sentire le richieste degli utenti siamo a posto. Dopo 1 giorno abbiamo 40 postazioni di emule che vanno a pieno regime...

NN conosco il tuo caso e non voglio prendere posizioni, ma il discorso è abbastanza chiaro.

In ogni caso il thread non vorrei che diventasse adminVSusers perche non ne andiamo piu fuori.

Cmq lieto di darti una mano se posso.

ciao

[V4N3X]

No no, io non ho questi problemi; nelle poche VPN che mi hanno chiesto di configurare, nessun utente ha mai sollevato questa questione. Inoltre io le VPN le ho configurate direttamente tramite router, mai via client, per cui i vari PC e i vari dipendenti che vi hanno accesso, sono referenziati e autorizzati a priori, ovviamente con diversi privilegi, ma comunque autorizzati.
Mai richiesta una VPN fra reti aziendali e reti domestiche. Lasciar passare del traffico P2P, è appunto ciò che io definisco "la trave". Con quella frase intendevo solo dire che alcune persone tendono ad essere fiscali con gli aspetti basilari delle configurazioni, tralasciando poi cose che potrebbero essere più sofisticate, invasive e potenzialmente dannose.

[SoftWd]

@hmetal

nn sono molto d'accordo con quello che dici, per ovvi motivi:

Io sono adibito a sviluppare portali web per l'azienda a cui mi connetto in vpn...........bene, caro admin io ti sviluppo sto sito, ma come faccio a svilupparti la roba se nn posso cercarmi la documentazione in internet visto che tu mi obblighi a passare per la tua rete bloccandomi la mia intranet ? Inoltre, se devo stampare una documentazione o un contratto, mica posso ogni volta scollegare sto ca**o di client cisco vpn per stampare o mandare la roba ad un collega !

A me sembra proprio una cosa STUPIDA in TUTTI i sensi. Io lavoro per te ma tu non mi fai accedere alla mia rete, bel controsenso !!!

[cisketto]

è un impostazione di sicurezza della vpn. cerca "Split tunnelling" come ho un po piu di tempo ti mando un pdf che ti spiega km funziona.

[SoftWd]

cisketto ! questa mi mancava, appena puoi ti prego mandami la doc in pdf ! )