Przekierowywanie lokalnego ruchu LAN i ruchu internetowego w sieci VPN

16

Łączę się z VPN, która nie pozwala na dzielone tunelowanie i zasadniczo przekierowuje mój ruch internetowy, który jest wolny. Co ważniejsze, skutecznie usuwa to również moją maszynę z lokalnej sieci LAN.

Szukam sposobu na zmodyfikowanie tabeli routingu w systemie Windows 7, aby jak zwykle kierować ruchem internetowym i lokalnymi połączeniami LAN i ograniczyć ruch VPN do sieci 10.0.53.0, ale chociaż wiem, jak trasować usuwanie i dodawanie trasy, jestem nie rozumiem, co dokładnie muszę przekierować.

Moja sieć wygląda następująco:

  • 192.168.192.0 - moja lokalna sieć LAN
  • 192.168.192.1 - mój router
  • 192.168.192.2 - mój komputer
  • 10.0.53.0 - sieć VPN
  • 10.0.53.1 - Brama VPN

Oto moje trasy, gdy VPN nie jest podłączony (ipconfig + route print):

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : lan
   Link-local IPv6 Address . . . . . : fe80::3449:3fc8:6133:b564%11
   IPv4 Address. . . . . . . . . . . : 192.168.192.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.192.1

Tunnel adapter isatap.lan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : lan

Tunnel adapter Local Area Connection* 9:

   Connection-specific DNS Suffix  . :
   IPv6 Address. . . . . . . . . . . : 2001:0:5ef5:79fd:8fa:15c1:a65b:dce4
   Link-local IPv6 Address . . . . . : fe80::8fa:15c1:a65b:dce4%14
   Default Gateway . . . . . . . . . : ::

===========================================================================
Interface List
 11...00 16 e6 dc 32 b6 ......Marvell Yukon 88E8052 PCI-E ASF Gigabit Ether
ontroller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.192.1    192.168.192.2     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.192.0    255.255.255.0         On-link     192.168.192.2    276
    192.168.192.2  255.255.255.255         On-link     192.168.192.2    276
  192.168.192.255  255.255.255.255         On-link     192.168.192.2    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.192.2    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.192.2    276
===========================================================================
Persistent Routes:
  None

A to są moje trasy, gdy VPN jest podłączony (ipconfig + route print):

Ethernet adapter Local Area Connection 5:

   Connection-specific DNS Suffix  . : emporion.hr
   Link-local IPv6 Address . . . . . : fe80::e127:bf06:eff3:f18e%26
   IPv4 Address. . . . . . . . . . . : 10.0.53.21
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.53.1

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : lan
   Link-local IPv6 Address . . . . . : fe80::3449:3fc8:6133:b564%11
   IPv4 Address. . . . . . . . . . . : 192.168.192.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.192.1

Tunnel adapter isatap.lan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : lan

Tunnel adapter Local Area Connection* 9:

   Connection-specific DNS Suffix  . :
   IPv6 Address. . . . . . . . . . . : 2001:0:5ef5:79fd:8fa:15c1:a65b:dce4
   Link-local IPv6 Address . . . . . : fe80::8fa:15c1:a65b:dce4%14
   Default Gateway . . . . . . . . . : ::

===========================================================================
Interface List
 26...00 05 9a 3c 78 00 ......Cisco Systems VPN Adapter for 64-bit Windows
 11...00 16 e6 dc 32 b6 ......Marvell Yukon 88E8052 PCI-E ASF Gigabit Ether
ontroller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.192.1    192.168.192.2     20
          0.0.0.0          0.0.0.0        10.0.53.1       10.0.53.22     21
        10.0.53.0    255.255.255.0         On-link        10.0.53.22    276
       10.0.53.22  255.255.255.255         On-link        10.0.53.22    276
      10.0.53.255  255.255.255.255         On-link        10.0.53.22    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.192.0    255.255.255.0         On-link     192.168.192.2    276
    192.168.192.0    255.255.255.0        10.0.53.1       10.0.53.22    276
    192.168.192.1  255.255.255.255         On-link     192.168.192.2    100
    192.168.192.2  255.255.255.255         On-link     192.168.192.2    276
    192.168.192.2  255.255.255.255        10.0.53.1       10.0.53.22    276
  192.168.192.255  255.255.255.255         On-link     192.168.192.2    276
   213.147.99.115  255.255.255.255    192.168.192.1    192.168.192.2    100
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.192.2    276
        224.0.0.0        240.0.0.0         On-link        10.0.53.22    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.192.2    276
  255.255.255.255  255.255.255.255         On-link        10.0.53.22    276
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0        10.0.53.1       1
===========================================================================
windows-7 vpn routing cisco-vpn-client Domchi
źródło

Odpowiedzi:

6

Twój problem jest związany z wersją używanego klienta VPN. Jeśli jest to klient Cisco, firma Cisco naprawiła go już w wersji 5.0.07.0410-k9 dla wersji 32-bitowej i 5.0.07.0440-k9 dla wersji 64-bitowej.

W innym przypadku musisz wykonać następujące czynności:

  1. usuń wszystkie statycznie dodane trasy (sieć lub trasa domyślna)

    trasa USUŃ 0.0.0.0

  2. zmień metrykę lokalnej trasy domyślnej na NAJLEPSZĄ „1”

    trasa DODAJ -p 0.0.0.0 MASKA 0.0.0.0 192.168.192.1 METRYKA 1

  3. Upewnij się, że twój serwer VPN - myślę, że ten adres IP 213.147.99.115 - powinien być osiągalny przez lokalną bramę

    trasa DODAJ -p 213.147.99.115 MASKA 255.255.255.255 192.168.192.1 METRYKA 1

  4. Zapewnij sobie dostępność sieci lokalnej dzięki tej trasie w wynikach drukowania trasy

    192.168.192.0 255.255.255.0 On-link 192.168.192.2 276

    192.168.192.0 255.255.255.0 10.0.53.1 10.0.53.22 276

z

trasa ZMIEŃ 192.168.192.0 MASKA 255.255.255.0 192.168.192.1 METRYKA 1

  1. Kiedy VPN jest podłączony, zmień bramę sieci zdalnej na adres IP przypisany do twojego klienta VPN Cisco - w twoim ipconfig to 10.0.53.22 - i zmień na 10 (ponieważ <276), aby upewnić się, że ta trasa jest poprawna.

    trasa ZMIEŃ 10.0.53.0 MASKA 255.255.255.0 10.0.53.22 METRYCZNY 10

jeśli się nie powiedzie, najpierw usuń trasę i dodaj ją ponownie za pomocą „route ADD”

matryca 154
źródło
1
Gdzie uzyskać klienta VPN Cisco w wersji 5.0? Oficjalna strona ma tylko v4.x - cisco.com/c/en/us/support/security/…
Edward
3

Właśnie to zrobiłem. Przez nie pozwalając VPN do podjęcia domyślną bramę, ja się cały ruch do sieci zdalnej nad VPN, a reszta zwykłą drogą przez mojego routera.

W sieci VPN „nic”, Sieć-> ipv4-> właściwości-> zaawansowane-> ustawienia ip Usuń Usuń zaznaczenie „Użyj domyślnej bramy w zdalnej sieci”

(Lub coś takiego, ja moje Windows 8 jest duński)

Lenne
źródło
Jedyną rzeczą, o której należy wspomnieć, jest to, że twoje żądania DNS będą przekazywane do serwera DNS sieci VPN, a nie routera lokalnego, co spowoduje, że twoje żądania DNS dotyczące nazw lokalnych maszyn LAN zostaną rozstrzygnięte na serwerze DNS VPN, co najprawdopodobniej zakończy się niepowodzeniem .
Mladen B.
Brak opcji w Windows 10
Douglas Gaskell,
2

Możesz włączyć dzielone tunelowanie za pomocą Powershell. Na przykład w systemie Windows 10 opcja „Użyj bramy domyślnej w trybie zdalnym” jest niedostępna.

Set-VpnConnection -Name vpn-connection-name -SplitTunneling $true
Alexei Humeniy
źródło
1

Sprawdź dokumentację Cisco VPN pod kątem słów kluczowych, takich jak „trasa domyślna” lub „trasa trwała”, w nadziei znalezienia opcji zmiany ustawienia domyślnej trasy lub bramy dla klientów VPN.

Randolf Richardson
źródło
Wiem dokładnie, gdzie jest ta opcja, ale niestety jest na serwerze VPN, którego nie kontroluję.
Domchi
1
  1. Usuń wszystkie trasy wskazujące 10.0.53.1jako bramę.
  2. Dodaj trasę do 10.0.53.0maskowania 255.255.255.0przez tę samą bramę.
użytkownik1686
źródło
Właśnie próbowałem i nie mogę tego zrobić. Po usunięciu trwałej trasy (usunięcie trasy 0.0.0.0 maska ​​0.0.0.0 10.0.53.1) tracę dostęp do sieci VPN i nadal nie mogę się połączyć z lokalną siecią LAN. Kiedy później wpisuję „dodaj trasę 10.0.53.0, maska ​​255.255.255.0 10.0.53.1”, pojawia się komunikat: „Dodanie trasy nie powiodło się: element nie został znaleziony”. Dopiero po rozłączeniu z VPN mogę ponownie uzyskać dostęp do lokalnej sieci LAN.
Domchi
1
Rozmawiałem z facetem VPN w naszej firmie. Wygląda na to, że Cisco VPN ma problemy z siecią na niższym poziomie, więc nie można modyfikować tras w ten sposób. Chociaż nie rozwiązało to mojego problemu, twoja odpowiedź pomogła mi, więc się zgadzam.
Domchi