Access Route basé split tunneling pour VPNC le client sur linux distributions

Aperçu

VPNC est un client IPSec tiers open source qui VPN prend en charge l’authentification étendue X- (Auth) et établit un VPN tunnel vers GlobalProtect gateways pour accéder aux réseaux internes de l’entreprise.

Consultez le lien ci-dessous pour une liste de X- clients Auth IPSec pris en charge :

Quels X- clients Auth IPSec sont pris en charge ?

Ce document explique le fonctionnement du tunnelage fractionnant VPNC lorsqu’un client est connecté à une GlobalProtect passerelle.

 

Détails

• Afin de définir les réseaux à accessible à partir du client (ou) pour que le trafic soit envoyé sur la connexion, des VPNC VPN itinéraires d’accès (également connus sous le nom de tunnelage fractionnant) doivent être ajoutés dans GlobalProtect la configuration client de la passerelle. Référencez GlobalProtect configuration Tech Note
• Lorsque les itinéraires d’accès sont configurés GlobalProtect sur la passerelle, un itinéraire global de tous les itinéraires d’accès est envoyé au VPNC client. Si DNS les adresses du serveur sont incluses, elles seront également prises en compte lors de l’agrégation des itinéraires.

 

Par exemple:

Si les itinéraires d’accès contiennent les réseaux 10.66.22.0/23 et 192.168.87.0/24, alors l’itinéraire global envoyé au client tiers VPNC est un itinéraire par défaut 0.0.0.0/0 comme indiqué ci-dessous.

> Show global-Protect-Gateway nom test_vpnc

 

GlobalProtect Passerelle: test_vpnc (0 utilisateurs)

Type tunnel : tunnel utilisateur distant

Nom du tunnel : test_vpnc-N

Tunnel ID : 7

Interface tunnel : tunnel.1

Interface Encap : ethernet1/3

Héritage de :

Adresse locale : 10.66.24.87

        SSL Port serveur : 443

IPSec Encap : oui

Négociation tunnel : ssl,ike

        HTTP Redirection : non

        UDP Port : 4501

Utilisateurs max : 0

        IP Gammes de piscine : 172.16.7.1 - 172.16.7.7;

        IP Indice de piscine : 0

Suivant IP : 0.0.0.0

        DNS Serveurs : 4.2.2.2

: 0.0.0.0

        WINS Serveurs : 0.0.0.0

: 0.0.0.0

        Itinéraires d’accès : 10.66.22.0/23; 192.168.87.0/24;

        Itinéraire d’accès pour un client tiers : 0.0.0.0/0

        VSYS: vsys1 (id 1)

        SSL Serveur Cert : SERVER_CERT

Profil d’Auth : vpnc_auth

Profil du client Cert :

Durée de vie : 2592000 secondes

Délai d’attente inactif : 10800 secondes

 

Si les itinéraires d’accès contiennent les réseaux 10.66.22.0/23 et 10.66.12.0/23, alors l’itinéraire global envoyé au client tiers VPNC est de 10.66.0.0/19, comme indiqué ci-dessous.

> Show global-Protect-Gateway nom test_vpnc

 

GlobalProtect Passerelle: test_vpnc (0 utilisateurs)

Type tunnel : tunnel utilisateur distant

Nom du tunnel : test_vpnc-N

Tunnel ID : 7

Interface tunnel : tunnel.1

Interface Encap : ethernet1/3

Héritage de :

Adresse locale : 10.66.24.87

        SSL Port serveur : 443

IPSec Encap : oui

Négociation tunnel : ssl,ike

        HTTP Redirection : non

        UDP Port : 4501

Utilisateurs max : 0

        IP Gammes de piscine : 172.16.7.1 - 172.16.7.7;

        IP Indice de piscine : 0

Suivant IP : 0.0.0.0

        DNS Serveurs : 10.66.22.77

: 0.0.0.0

        WINS Serveurs : 0.0.0.0

: 0.0.0.0

        Itinéraires d’accès : 10.66.22.0/23; 10.66.12.0/23;

Itinéraire d’accès pour un client tiers : 10.66.0.0/19

        VSYS: vsys1 (id 1)

        SSL Serveur Cert : SERVER_CERT

Profil d’Auth : vpnc_auth

Profil du client Cert :

Durée de vie : 2592000 secondes

Délai d’attente inactif : 10800 secondes

 

Note: Si l’itinéraire global envoyé au VPNC client est un itinéraire par défaut (0.0.0.0/0), alors le client doit être VPNC configuré pour le split-tunneling comme indiqué ci-dessous.

 

Accédez VPNC au client et accédez aux paramètres IPv4 > itinéraires

 

Ajoutez la route d'accès requise et assurez-vous que l'option "utiliser cette connexion uniquement pour les ressources sur son réseau" est cochée.

Bien que l’itinéraire global envoyé GlobalProtect par est de 0.0.0.0/0, l’accès ne sera autorisé au réseau que 10.66.22.0/23 comme indiqué ci-dessous.

Sortie terminale de Linux Host:

tun0 Lien encap: UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

       addr inet:172.16.7.1 P- Ptél.: 172.16.7.1 ask:255.255.255.255

       UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Métrique:1

       RX paquets:0 erreurs:0 a chuté:0 dépassements:0 cadre:0

       TX paquets:0 erreurs:0 a chuté:0 dépassements:0 transporteur:0

collisions:0 txqueue1en:500

       RX octets:0 (0,0 B ) TX octets:0 (0,0 B )

 

L’itinéraire d’accès n’a pas été ajouté pour le 192.168.87.0/24 bien que l’itinéraire global envoyé VPNC au client ait été 0.0.0.0/0

Tobby @ VirtualBox: ~ $ ping 192.168.87.1

PING 192.168.87.1 (192.168.87.1) 56(84) octets de données.

 

statistiques---192.168.87.1 ping---

3 paquets transmis, 0 reçu, perte de paquets à 100%,temps 2014ms

 

Itinéraire d’accès ajouté pour 10.66.22.0/23 dans le VPNC client

Tobby @ VirtualBox: ~ $ ping 10.66.22.87

PING 16.66.22.87 (16.66.22.87) 56(84) octets de données.

64 octets de 10.66.22.87: icmp_req = 1 TTL = 61 Time = 6.87 ms

64 bytes from 10.66.22.87: icmp_req = 2 TTL = 61 Time = 2.02 ms

 

statistiques---16.66.22.87 ping---

2 paquets transmis, 2 reçus, 0% perte de paquets,temps 1001ms

RTT min/AVG/Max/mdev = 2.021/4.450/6.879/2.429 ms