Windows 7, połączenie sieciowe bez domyślnej bramy: jakikolwiek sposób na zmianę statusu „Nieznana sieć”?

17

Mam komputer z systemem Windows 7 Pro RTM. Ten komputer ma dwa połączenia sieciowe:

  • Połączenie Wi-Fi z Internetem (przez domowy router), które działa dobrze.
  • Wirtualne połączenie sieciowe OpenVPN. Mówiąc dokładniej, jest to wirtualne połączenie Ethernet, które zachowuje się dokładnie tak samo jak fizyczne połączenie przewodowe Ethernet.

Mój problem polega na tym, że „Centrum sieci i udostępniania” pokazuje „Nieznana sieć” dla połączenia OpenVPN. Po kilku badaniach odkryłem, że sieci logiczne (poza domeną) są identyfikowane przez adres MAC domyślnej bramy połączenia. Problem w tym, że połączenie OpenVPN nie ma domyślnej bramy: jest to sieć prywatna, więc nie potrzebuję żadnej ...

W związku z tym „Nieznana sieć” jest zawsze uważana za publiczną, więc zapora zawsze znajduje się w „trybie publicznym”, czego nie chcę. Ponadto nie mogę zmienić nazwy „Nieznane połączenie” ani nic innego (co ma sens), więc jest to trochę brzydkie.

Moim celem jest zdefiniowanie odpowiedniej sieci logicznej dla połączenia OpenVPN z profilem prywatnym. Znam niektóre obejścia (wyłącz zaporę, zmodyfikuj zasady bezpieczeństwa, aby wszystkie nieznane sieci stały się „prywatne”), ale nadal są one obejściami. Chcę tylko, aby moi klienci łączyli się z VPN bez konieczności wyłączania ustawień zapory, bez zmiany globalnej konfiguracji z potencjalnymi efektami ubocznymi (rozwiązanie „polityki bezpieczeństwa”) i bez konieczności patrzenia na brzydkie „Nieznane połączenie” w sieci i centrum udostępniania.

Czy jest jakiś sposób, żeby to zrobić? Próbowałem sprawdzić, co się dzieje w rejestrze (HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ NetworkList jest interesujące), ale nadal nie znalazłem sposobu na „wymuszenie” przypisania połączenia OpenVPN do logiki sieć.

Każda forma pomocy jest mile widziana.

Podobne pytanie pojawiło się w Superuser: /superuser/37355/windows-7-cant-identify-network/37422

networking windows-7 gateway Etienne Dechamps
źródło
2
Naprawdę interesujące pytanie, mam nadzieję, że otrzyma odpowiedź.
Massimo,
1
Nie mam sposobu, aby przetestować go w tej chwili, ale czy mógłbyś również dodać adres IP jako bramę, kierując go do siebie?
Jes
Dobra próba, ale to nie działa: Windows nie pozwala mi ustawić domyślnego adresu bramy na adres IP karty sieciowej. Nie pokazuje żadnego błędu, ale kiedy wracam do właściwości połączenia, brama domyślna jest nadal pusta.
Etienne Dechamps
Jes: po dyskusji w Superuser, spróbowałem jeszcze raz (ustaw własny adres IP jako bramę) i działa ... aż do wyłączenia interfejsu lub ponownego uruchomienia komputera. Po ponownym włączeniu domyślna brama znów zniknie ... jakieś pomysły?
Etienne Dechamps,

Odpowiedzi:

4

Jest tutaj skrypt Powershell , który wygląda tak, jakby robił to, co chcesz.

Fahad Sadah
źródło
Usunięcie wszystkich funkcji zwiększających świadomość sieci z interfejsu nie było rozwiązaniem, którego się spodziewałem, ale muszę przyznać, że to wystarczy. To chyba lepsze niż nic. Przyjmę twoją odpowiedź, przynajmniej dopóki nie pojawi się lepsza.
Etienne Dechamps,
3
ah, to mój skrypt (z nivot.org)
x0n
9

Chcę tylko, aby moi klienci łączyli się z VPN bez konieczności wyłączania ustawień zapory, bez zmiany globalnej konfiguracji z potencjalnymi efektami ubocznymi (rozwiązanie „polityki bezpieczeństwa”) i bez konieczności patrzenia na brzydkie „Nieznane połączenie” w sieci i centrum udostępniania.

Czy jest jakiś sposób, żeby to zrobić?

Obejściem, którego używamy, jest przesłanie domyślnej trasy do klienta za pomocą pliku konfiguracyjnego OpenVPN, np .:

# Dummy default gateway to work around Windows 'unidentified network'/'unknown network'
route-metric 512
route 0.0.0.0 0.0.0.0

Zdecydowanie chcesz się upewnić, że podana metryka jest wyższa niż domyślna trasa internetowa że podana , w przeciwnym razie cały ruch byłby kierowany przez VPN (co może być pożądane w określonych przypadkach, ale to inny temat).

Należy pamiętać, że majstrowanie przy ogólnej konfiguracji sieci, a w szczególności routingu, może powodować różnego rodzaju niepożądane skutki uboczne, jeśli zostanie to wykonane nieprawidłowo, ale dopóki wiesz, co robisz, powinieneś być w stanie ocenić wpływ:

  • W szczególności dostarczone obejście posiadania dwóch takich domyślnych bram jest przez niektórych przynajmniej uważane za semantycznie złe, a system Windows odpowiednio ostrzega, jeśli rzeczywiście skonfigurujesz to za pomocą interfejsu użytkownika.
  • Zobacz Jak uczynić prywatną niezidentyfikowaną sieć możliwą do zidentyfikowania i prywatną? w celu omówienia tego tematu, w szczególności samego pytania i plakatów (Jason R. Coombs), rozsądnej krytyki dotyczącej krótkiego streszczenia domyślnej metody bramkowania na stronie Steve'a Hathawaysa.

To powiedziawszy zastosowaliśmy to obejście z powodzeniem od dłuższego czasu bez żadnych problemów.

Steffen Opel
źródło
„route 0.0.0.0 0.0.0.0” nie będzie działać. Brama domyślna musi być osiągalna (ARP) na połączeniu. Zgadzam się jednak z pozostałymi częściami twojej odpowiedzi.
Etienne Dechamps
1
Och, w rzeczywistości działa. To dlatego, że źle zrozumiałem składnię opcji konfiguracji „trasy” OpenVPN. Istnieje domyślny trzeci parametr, którym jest brama VPN, więc Windows rzeczywiście uzyskuje „wirtualną” odpowiedź ARP z OpenVPN.
Etienne Dechamps
Muszę powiedzieć, że jest to najlepsza jak dotąd opcja. Włamanie do rejestru, które pozwala systemowi Windows myśleć, że sieć jest połączeniem komputera z domeną, całkowicie omija zabezpieczenia, a druga wskazówka, dodając stałą trasę, pozostawiłaby nonsensowną trasę nawet po zamknięciu OpenVPN.
Cygon
1

W przypadku OpenVPN AS (Access Server) możesz dodać to do Zaawansowanych ustawień VPN w polu Dyrektywy konfiguracji serwera :

push "route-metric 512"
push "route 0.0.0.0 0.0.0.0"

Następnie zaktualizuj serwer i, et voilet, Win7 otrzyma domyślny gw na urządzeniu TAP i pozwoli ci zmienić typ sieci z Nieznanego na inny.

Dzięki @ Steffen-Opel za wskazówkę! :)

i teren
źródło
1

Chciałbym zostawić swój wkład. Zobacz, co zadziałało w mojej sprawie ... Windows 7 i Windows 8 ...

Spędzam dużo czasu z tym problemem łączności przychodzącej klienta.

Wyłączenie interfejsu TAP w zaporze działa dobrze, ale prawie tak samo jest z wyłączaniem zapory w kontekście VPN. Maszyny VPN działają w różnych kontekstach bezpieczeństwa, a niektóre mogą mieć wpływ na inne.

Próbowałem skonfigurować „domyślną bramę”, która rozpoznaje sieć jako „Sieć roboczą” (tylko w Win7, nie w Win8), a mimo to nie PING!

Ręcznie dodaj rekord „* NdisDeviceType” do rejestru również nie działa w Win8.

Tak więc, widząc uważnie konfigurację Zapory systemu Windows, widziałem inne konfiguracje zakresu, a nie tylko profile, więc spróbowałem uruchomić inną usługę niż PING i co mnie zaskoczyło, gdy działało poprawnie, nawet w „Niezidentyfikowanych sieciach” i „Profilu publicznym”!

Próbowałem więc wyodrębnić problem de PING, a konfiguracja, dzięki której działa, była następująca: Domyślny wpis Zapory systemu Windows, który włącza poza PING IPv4, to „Udostępnianie plików i drukarek (żądanie echa - ICMv4-In)”, więc w jego kliknąłem „Zakres”, aw „Zdalnym adresie IP” zmieniłem „Lokalną podsieć” na „Dowolny adres IP”, co spowodowało, że PING działał.

syncord
źródło
0

Hej, udało mi się to uruchomić. Poszedłem do Centrum sieci i udostępniania, a następnie kliknąłem „Grupa domowa”. Na tym ekranie jest napisane, że nie mogę dołączyć do grupy domowej, ponieważ sieć jest publiczna. Następnie kliknąłem pytanie „Co to jest lokalizacja sieciowa?” i pozwala mi zmienić typ sieci. Zostanie wyświetlony ekran z informacją, że system Windows nie mógł zmienić typu sieci, ale zmieni się.


źródło
-2

Co powiesz na dodanie kolejnego IP segmentu jako domyślnej bramy? Chociaż nie będzie wyszukiwać ani dotykać adresów zewnętrznych, będzie mieć domyślną bramę, która powinna spełniać wymagania systemu Windows. Lub zmień swój DHCP, aby go udostępnić, jeśli nie.

jfmessier
źródło
1
Naprawdę nie rozumiem. Jeśli dam Windowsowi domyślną bramę dla tego połączenia, wówczas Windows może użyć połączenia VPN jako domyślnej trasy. Oznacza to, że Windows użyje połączenia VPN, aby uzyskać dostęp do Internetu ... czego oczywiście nie chcę (i tak by to nie działało).
Etienne Dechamps
-3

Spróbuj przejść do „Centrum sieci i udostępniania”, gdy jesteś podłączony do sieci VPN, a powinieneś zobaczyć wymienione sieci. Pod każdą siecią będzie mieć status „Sieć robocza” lub „Sieć domenowa”, powinieneś być w stanie ją kliknąć i zmienić typ sieci.

J.Ja

Justin James
źródło
2
Nie dla nieznanych sieci
Mark Henderson