LoginSignup
5
7

More than 3 years have passed since last update.

@yokra9

Cisco AnyConnect 利用時に Hyper-V 上の VM との通信や Docker Desktop for Windows の挙動が不安定になったりする

Last updated at Posted at 2020-03-01

TL;DR

管理者が許していない場合はあきらめてください。

Cisco AnyConnect 利用時に Hyper-V 上の VM との通信や Docker Desktop for Windows の挙動が不安定になったりする理由

Cisco AnyConnect は VPN クライアントソフトウェアです。一般ユーザが利用する端末にインストールし、SSL-VPN 接続を利用します。一方、企業側に設置され VPN サーバとして稼働するのが Cisco のファイアウォール製品である Cisco Adaptive Security Appliance 5500 シリーズ および 5500-X シリーズ(以下 Cisco ASA )です。Cisco ASA の SSL-VPN 接続はデフォルトでローカル LAN 宛てのトラフィックを遮断します。1

たとえばインターネット接続の共有を利用した仮想マシンのネットワーク接続を行っている VM へのアクセス、および Docker Desktop for Windows で利用されている DockerDesktopVM への通信はローカル LAN 宛てのトラフィックとなるため、Cisco AnyConnect による VPN 接続時にはアクセスが遮断されてしまうのです。リモートワークに差し支えたりしますが仕様や規定ならばあきらめるほかありません。

管理者がローカル LAN アクセスを許可する方法

Cisco サポートの VPN クライアントと AnyConnect クライアントからローカル LAN へのアクセスの設定例 を参照します。ローカル LAN アクセスが許可されている場合は、AnyConnect の設定画面に Allow local (LAN) access when using VPN (if configured) というオプションが現れています。

(出典:https://community.cisco.com/t5/vpn/how-to-enable-quot-allow-local-lan-access-quot-on-ssl-vpn-client/td-p/596279

管理者に怒られてもローカル LAN アクセスがしたいとき

許されていないことを無理に実行しようとした場合、一般的に怒られが発生します。しかし、それでもローカル LAN アクセスがしたいひとはいるかもしれません。私は試していませんが、解決法となるかもしれない情報を見つけましたので共有しておきます。

SuperUser に How to allow local LAN access while connected to Cisco VPN? というトピックがあり、Cisco AnyConnect の代替として OSS の VPN クライアントである OpenConnect VPN client を利用するという提案がありました:

For those looking to maintain control of their routing table when using a Cisco AnyConnect SSL VPN, check out OpenConnect. It both supports the Cisco AnyConnect SSL VPN and doesn't attempt to disrupt or 'secure' routing table entries. @Vadzim alludes to this in a comment above.

After trying everything but patching the AnyConnect Secure Mobility Client, I was able to successfully replace it on Windows with OpenConnect GUI. This enabled me to maintain connectivity to local resources (and update the routing table).

I use OpenConnect on Windows but it also supports Linux, BSD, and macOS (among other platforms) according to the project page.

参考和訳です:

Cisco AnyConnect SSL VPN の使用時にルーティングテーブルの制御を維持したい場合は、OpenConnect を調べてみてください。 同様に Cisco AnyConnect SSL VPN をサポートしますが、ルーティングテーブルエントリをさまたげたり、「保護」したりしようとしません。 @Vadzimは、上記のコメントでこれを暗示しています。

AnyConnect Secure Mobility Client にパッチを適用する以外のすべての方法を試した後、Windows で OpenConnect GUI を使用して正常に置換することができました。 これによってローカルリソースへの接続を維持できました(そしてルーティングテーブルを更新しました)。

私は Windows で OpenConnect を使用していますが、プロジェクトページによると、Linux、BSD、macOS(他のプラットフォームの中でも)もサポートしています。

VPN クライアントを OpenConnect に差し替えることでローカル LAN アクセスを維持するわけですね。

参考リンク

  1. インターネット宛てのトラフィックをトンネリングするだけでなくローカル LAN 接続に制限を与えているのは情報持ち出し等のセキュリティリスクを低減させるためでしょうか? 

5
7
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
7