Không thể thay đổi tuyến đường với VPN Client


10

Kết nối VPN của tôi buộc tất cả lưu lượng truy cập internet qua đường hầm và điều đó rất chậm. Tôi muốn chỉ có thể tạo đường hầm cho một số địa chỉ IP nhất định và thực hiện điều đó ở phía tôi (phía máy khách).

Tôi đang kết nối với VPN với FortiSSL Client , bảng lộ trình trông như thế này trước khi kết nối được thiết lập:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101     40
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.101    276
    192.168.0.101  255.255.255.255         On-link     192.168.0.101    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.101    276
    192.168.119.0    255.255.255.0         On-link     192.168.119.1    276
    192.168.119.1  255.255.255.255         On-link     192.168.119.1    276
  192.168.119.255  255.255.255.255         On-link     192.168.119.1    276
    192.168.221.0    255.255.255.0         On-link     192.168.221.1    276
    192.168.221.1  255.255.255.255         On-link     192.168.221.1    276
  192.168.221.255  255.255.255.255         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.119.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.101    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.119.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.221.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.101    276

Sau khi kết nối, nó trông như thế này:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101   4265
          0.0.0.0          0.0.0.0         On-link        172.16.0.1     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       172.16.0.1  255.255.255.255         On-link        172.16.0.1    276
      192.168.0.0    255.255.255.0         On-link     192.168.0.101   4501
    192.168.0.101  255.255.255.255         On-link     192.168.0.101   4501
    192.168.0.255  255.255.255.255         On-link     192.168.0.101   4501
    192.168.119.0    255.255.255.0         On-link     192.168.119.1   4501
    192.168.119.1  255.255.255.255         On-link     192.168.119.1   4501
  192.168.119.255  255.255.255.255         On-link     192.168.119.1   4501
    192.168.221.0    255.255.255.0         On-link     192.168.221.1   4501
    192.168.221.1  255.255.255.255         On-link     192.168.221.1   4501
  192.168.221.255  255.255.255.255         On-link     192.168.221.1   4501
   200.250.246.74  255.255.255.255      192.168.0.1    192.168.0.101   4245
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.119.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.221.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.0.101   4502
        224.0.0.0        240.0.0.0         On-link        172.16.0.1     21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.119.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.221.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.0.101   4501
  255.255.255.255  255.255.255.255         On-link        172.16.0.1    276

Máy khách VPN đặt tuyến bắt tất cả với số liệu thấp hơn tất cả các tuyến khác của tôi và tuyến này tất cả lưu lượng truy cập internet qua đường hầm. Tôi đã thử thay đổi số liệu mặc định của tuyến internet thành giá trị thấp hơn:

C:\Windows\system32>route change 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 10 if 13
OK!

Nhưng không có gì thay đổi.

Sau đó, tôi đã thử xóa tuyến đường "bắt tất cả" của VPN, tuyến đường có số liệu 21 ở trên:

C:\Windows\system32>route delete 0.0.0.0 mask 0.0.0.0 if 50
OK!

Và nó đã phá vỡ mọi thứ:

C:\Windows\system32>ping 8.8.8.8

Pinging 8.8.8.8 with 32 bytes of data:
PING: transmit failed. General failure.

Tôi cũng đã thử thay đổi số liệu trên các bộ điều hợp, nhưng FortiSSL Client ghi đè tất cả các cài đặt khi kết nối, vì vậy nó không giúp ích gì.

Việc sửa chữa phải đến từ phía tôi, vì dân gian ở phía bên kia phải mất nhiều ngày để đáp ứng.

Tôi đang chạy Windows 7 x64 nếu điều đó có ích.

- CẬP NHẬT (2013-12-24) -

Nhờ mẹo của mbrownnyc , tôi đã kiểm tra vấn đề với Rohitab và tìm ra FortiSSL Client xem bảng lộ trình với NotifyRouteChangelệnh gọi API Helper IP.

Tôi đã đặt điểm dừng trước NotifyRouteChangecác cuộc gọi và sử dụng tùy chọn "Bỏ qua cuộc gọi" để ngăn chặn thành công FortiSSL đặt lại các số liệu tuyến đường và bây giờ tôi có:

Các tuyến đường có số liệu ủng hộ bộ điều hợp Wifi của tôi

Tuy nhiên, khi tôi chạy tracert, tuyến đường của tôi vẫn đi qua VPN:

C:\Windows\system32>tracert www.google.com

Tracing route to www.google.com [173.194.118.83]
over a maximum of 30 hops:

  1    45 ms    47 ms    45 ms  Jurema [172.16.0.1]

Có bất kỳ khía cạnh nào của mạng windows mà tôi không biết có thể ủng hộ một tuyến nhất định ngay cả khi số liệu của tuyến in nói khác không?


Đây có phải là điểm để máy khách VPN của bạn thực thi chính sách đó không? Công ty có thể có một chính sách bảo mật yêu cầu bạn không sử dụng đường hầm phân tách và phá vỡ chính sách đó sẽ là một rủi ro bảo mật.
Ryan Ries

Hoàn toàn ngược lại. Bây giờ tôi có quyền truy cập vào các dịch vụ web bị hạn chế IP của đối tác của công ty này, vì lưu lượng truy cập web của tôi đi qua địa chỉ IP internet của họ. Về phần họ, đây là một cấu hình rất lười biếng, như trong "Tôi sẽ tạo đường hầm mọi thứ thông qua VPN để tôi sẽ không bao giờ phải thêm IP hoặc mạng con khác vào bảng tuyến đường".

@Juliano Điểm tránh đường hầm phân chia là ngăn người dùng vào một đường hầm và sau đó có quyền truy cập vào dữ liệu trên đường hầm khác. Tôi hy vọng bạn có cùng quyền truy cập vào mạng mà bạn đang truy cập, mà bạn sẽ có nếu bạn ở trên mạng. Tuy nhiên, bạn không muốn sử dụng đường hầm phân chia để cấp quyền truy cập đó vào thế giới.
BillThor

2
Trên thực tế nếu tôi ở trên mạng đó, tôi có thể thiết lập các tuyến và số liệu của mình để ưu tiên cho kết nối internet tôi muốn (3g / 4g tức là.). Tôi có tùy chọn đó vì tôi sẽ không phải là khách hàng VPN bị hạn chế một cách lố bịch. Về mặt lý thuyết, việc ngăn chặn đường hầm phân tách có vẻ ổn, nhưng nó hạn chế CÁCH của tôi nhiều hơn so với việc tôi thực sự ở trên mạng đó. Các bạn đang biện minh cho việc thực thi bảo mật đang làm tổn thương tôi thay vì giúp tôi tìm lối thoát, đó là câu hỏi trong tầm tay. Làm thế nào để tôi bỏ qua điều này?

Ngoài ra còn có các số liệu giao diện: ncpa.cpl> Thuộc tính NIC> Thuộc tính mục nhập ngăn xếp IP v4> Tab Chung / Nâng cao> Số liệu tự động. Nhìn vào cả hai giao diện. Cũng xem bài đăng blog này về Windows đa năng .
mbrownnyc

Câu trả lời:


2

Lưu ý rằng tôi không sử dụng ký hiệu mạng thông thường để giải quyết tại đây (chẳng hạn như CIDR hoặc thậm chí host/maskký hiệu, để không gây nhầm lẫn cho người hỏi).

Thay vì xóa tuyến đường "cổng mặc định" ( 0.0.0.0 mask 0.0.0.0) để ngăn xếp mạng của bạn không biết gửi hầu hết các gói ở đâu, hãy thử tăng số liệu của tuyến VPN bên dưới tuyến đường mặc định của bạn (trong trường hợp này 4265).

Sau khi kết nối với ứng dụng khách Fortigate:

route change 0.0.0.0 mask 0.0.0.0 172.16.0.1 metric 4266 if N

Trong đó N là số giao diện cho fortisslgiao diện được trả về vào đầu route print.

Ngăn xếp mạng nên xử lý việc này đúng cách:

  • Tuyến "bao gồm các địa chỉ đích" sẽ xử lý các gói (tuyến này báo cho ngăn xếp mạng gửi các gói được định sẵn this IPđể this gatewayđịnh tuyến tiếp theo).
  • Tất cả các gói có IP đích 172.16.*.*sẽ được gửi đến VPN; bởi vì ngăn xếp mạng Windows biết rằng nếu có một địa chỉ được gắn vào một giao diện, thì giao diện đó là cách bạn truy cập các IP khác trong phạm vi địa chỉ đó. Tôi có thể rõ ràng hơn với phạm vi nếu bạn đăng "Mặt nạ mạng con" cho 172.16.0.1.

Bạn phải xác định địa chỉ IP của tài nguyên bạn cần truy cập qua VPN. Bạn có thể thực hiện việc này một cách dễ dàng bằng cách sử dụng nslookup [hostname of resource]khi được kết nối mà không cần điều chỉnh các tuyến đường.

[rant]

Tôi không có vấn đề gì với việc cho phép chia đường hầm qua VPN, đặc biệt là do vấn đề sử dụng mà bạn trích dẫn. Nếu bộ phận CNTT của bạn coi việc phân chia đường hầm là một cơ chế bảo mật, họ cần suy nghĩ lại về những gì họ đang làm:

  • Quyền truy cập tài nguyên của khách hàng VPN nên được cách ly và hạn chế rất nhiều như thể chúng đang được truy cập qua Internet (vì tài sản mà bạn không khẳng định kiểm soát hoàn toàn có rủi ro cao hơn tài sản mà bạn có thể xác nhận một số).
  • Họ nên tích hợp một cơ chế kiểm soát truy cập mạng cho các máy khách VPN. Điều này có thể cho phép họ thực thi một số chính sách trên các máy khách (chẳng hạn như "các định nghĩa chống vi-rút được cập nhật?", V.v.).
  • Cân nhắc sử dụng một giải pháp cứng nhắc như Fortigate SSL VPN Desktop (khá dễ cấu hình và miễn phí [tôi nghĩ] với giấy phép SSL VPN).

[/ rant]


Khi tôi cố gắng thay đổi chỉ số tuyến đường 0.0.0.0 của VPN thành giá trị cao hơn so với tuyến internet, FortiSSL Client sẽ đặt tuyến internet của tôi thành một số liệu thậm chí cao hơn.
Juliano

Có hai tuyến cổng mặc định trên bảng "sau". VPN 0.0.0.0 và card wifi 0.0.0.0. Tôi đã xóa cổng mặc định của VPN nhưng để lại cổng wifi, điều này sẽ khiến nó giống như trước đây, nhưng nó đã phá vỡ mọi thứ. Hoặc fortissl làm một cái gì đó trong ngăn xếp để ngăn mọi người làm những gì tôi đang cố gắng hoặc tôi đang làm sai.
Juliano

Chúng là các giao diện khác nhau, vì vậy bạn sẽ có thể điều chỉnh chi phí tuyến đường của các tuyến riêng biệt. Nếu khách hàng xem bảng định tuyến, không có gì giúp bạn ở đó. Máy khách VPN của Cisco được cấu hình bằng tệp PRF có thể được kiểm soát trên hệ thống. Ứng dụng khách Fortigate SSL có thể giống nhau, hoặc là sổ đăng ký hoặc tệp. Tôi chỉ không chắc chắn nơi thiết lập sẽ được. Chọc một chút và bạn có thể tìm thấy thứ gì đó cho phép bạn định cấu hình máy khách. Ngoài ra, "hỗ trợ cho đường hầm phân chia" được định cấu hình "phía máy chủ" / trên thiết bị Pháo đài.
mbrownnyc

Nhìn vào bên trong : HKEY_CURRENT_USER\Software\Fortinet\SslvpnClient. Tunnelnên thú vị Xin vui lòng gửi lại những gì bạn tìm thấy. Hoặc trả lời và đánh dấu là community wikiđể bạn có thể giúp đỡ người khác.
mbrownnyc

1
Quá tệ. Không chắc chắn về tình huống của bạn, nhưng nó có đáng để đưa ra yêu cầu chia đường hầm không? Mặt khác, có vẻ như bạn sẽ phải chiếm quyền điều khiển một số lệnh gọi API bằng thứ gì đó như đường vòng của rohitab hoặc MSFT. Nó có thể là một dự án cuối tuần vui vẻ!
mbrownnyc
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.