Redirecionando o tráfego local da LAN e da Internet quando estiver na VPN


16

Estou me conectando a uma VPN que não permite o tunelamento dividido e basicamente redireciona o tráfego da Internet, o que é lento. Além disso e mais importante, isso também remove efetivamente minha máquina da LAN local.

Estou procurando uma maneira de modificar a tabela de roteamento no Windows 7 para rotear o tráfego da Internet e as conexões locais da LAN, como de costume, e restringir o tráfego da VPN à rede 10.0.53.0, mas, embora eu saiba rotear a exclusão e a rota, adicione falhando em entender o que exatamente eu preciso redirecionar.

Minha rede fica assim:

  • 192.168.192.0 - minha LAN local
  • 192.168.192.1 - meu roteador
  • 192.168.192.2 - meu computador
  • 10.0.53.0 - rede VPN
  • 10.0.53.1 - Gateway VPN

Estas são minhas rotas quando a VPN não está conectada (ipconfig + route print):

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : lan
   Link-local IPv6 Address . . . . . : fe80::3449:3fc8:6133:b564%11
   IPv4 Address. . . . . . . . . . . : 192.168.192.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.192.1

Tunnel adapter isatap.lan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : lan

Tunnel adapter Local Area Connection* 9:

   Connection-specific DNS Suffix  . :
   IPv6 Address. . . . . . . . . . . : 2001:0:5ef5:79fd:8fa:15c1:a65b:dce4
   Link-local IPv6 Address . . . . . : fe80::8fa:15c1:a65b:dce4%14
   Default Gateway . . . . . . . . . : ::

===========================================================================
Interface List
 11...00 16 e6 dc 32 b6 ......Marvell Yukon 88E8052 PCI-E ASF Gigabit Ether
ontroller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.192.1    192.168.192.2     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.192.0    255.255.255.0         On-link     192.168.192.2    276
    192.168.192.2  255.255.255.255         On-link     192.168.192.2    276
  192.168.192.255  255.255.255.255         On-link     192.168.192.2    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.192.2    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.192.2    276
===========================================================================
Persistent Routes:
  None

E estas são minhas rotas quando a VPN está conectada (ipconfig + route print):

Ethernet adapter Local Area Connection 5:

   Connection-specific DNS Suffix  . : emporion.hr
   Link-local IPv6 Address . . . . . : fe80::e127:bf06:eff3:f18e%26
   IPv4 Address. . . . . . . . . . . : 10.0.53.21
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.53.1

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : lan
   Link-local IPv6 Address . . . . . : fe80::3449:3fc8:6133:b564%11
   IPv4 Address. . . . . . . . . . . : 192.168.192.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.192.1

Tunnel adapter isatap.lan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : lan

Tunnel adapter Local Area Connection* 9:

   Connection-specific DNS Suffix  . :
   IPv6 Address. . . . . . . . . . . : 2001:0:5ef5:79fd:8fa:15c1:a65b:dce4
   Link-local IPv6 Address . . . . . : fe80::8fa:15c1:a65b:dce4%14
   Default Gateway . . . . . . . . . : ::

===========================================================================
Interface List
 26...00 05 9a 3c 78 00 ......Cisco Systems VPN Adapter for 64-bit Windows
 11...00 16 e6 dc 32 b6 ......Marvell Yukon 88E8052 PCI-E ASF Gigabit Ether
ontroller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.192.1    192.168.192.2     20
          0.0.0.0          0.0.0.0        10.0.53.1       10.0.53.22     21
        10.0.53.0    255.255.255.0         On-link        10.0.53.22    276
       10.0.53.22  255.255.255.255         On-link        10.0.53.22    276
      10.0.53.255  255.255.255.255         On-link        10.0.53.22    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.192.0    255.255.255.0         On-link     192.168.192.2    276
    192.168.192.0    255.255.255.0        10.0.53.1       10.0.53.22    276
    192.168.192.1  255.255.255.255         On-link     192.168.192.2    100
    192.168.192.2  255.255.255.255         On-link     192.168.192.2    276
    192.168.192.2  255.255.255.255        10.0.53.1       10.0.53.22    276
  192.168.192.255  255.255.255.255         On-link     192.168.192.2    276
   213.147.99.115  255.255.255.255    192.168.192.1    192.168.192.2    100
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.192.2    276
        224.0.0.0        240.0.0.0         On-link        10.0.53.22    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.192.2    276
  255.255.255.255  255.255.255.255         On-link        10.0.53.22    276
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0        10.0.53.1       1
===========================================================================

Respostas:


6

seu problema está relacionado à versão do cliente VPN que você usa. Se for um cliente cisco, o cisco já o corrigiu com a versão 5.0.07.0410-k9 para 32Bit e 5.0.07.0440-k9 para 64Bit.

Outro caso que você deve seguir:

  1. excluir todas as rotas adicionadas estáticas (rede ou rota padrão)

    route DELETE 0.0.0.0

  2. altere a métrica da sua rota padrão local para o MELHOR "1"

    route ADD -p 0.0.0.0 MASK 0.0.0.0 192.168.192.1 METRIC 1

  3. Garanta que seu servidor VPN - acho que esse IP 213.147.99.115 - possa ser acessado através do seu gateway local

    route ADD -p 213.147.99.115 MÁSCARA 255.255.255.255 192.168.192.1 METRIC 1

  4. Garanta a acessibilidade da sua rede local devido a esta rota em sua saída de "impressão de rota"

    192.168.192.0 255.255.255.0 no link 192.168.192.2 276

    192.168.192.0 255.255.255.0 10.0.53.1 10.0.53.22 276

com

route ALTERAR 192.168.192.0 MÁSCARA 255.255.255.0 192.168.192.1 METRIC 1

  1. Quando o vpn estiver conectado, altere o gateway da rede remota para o endereço IP atribuído ao seu cliente cisco vpn - no ipconfig é 10.0.53.22 - e métrico para 10 (porque <276) para garantir que essa rota seja válida.

    route ALTERAR 10.0.53.0 MÁSCARA 255.255.255.0 10.0.53.22 METRIC 10

se falhar, exclua a rota primeiro e adicione-a novamente com "route ADD"


11
Onde obter o Cisco vpn client versão 5.0? O site oficial possui apenas a versão v4.x - cisco.com/c/en/us/support/security/…
Edward

3

Eu acabei de fazer isso. Ao não permitir que o vpn assuma o gateway padrão, recebo todo o tráfego da rede remota pelo vpn e o restante a rota usual pelo meu roteador.

No vpn "nic", Rede-> ipv4-> propriedades-> avançado-> configurações de IP. Remover check-in "Usar gateway padrão na rede remota"

(Ou algo parecido, eu meu windows 8 é dinamarquês)


A única coisa a mencionar é que suas solicitações de DNS serão encaminhadas para o servidor DNS da rede da VPN, não para o roteador local, o que fará com que suas solicitações DNS para que os nomes de máquinas da LAN local sejam resolvidas no servidor DNS da VPN, que provavelmente falhará. .
Mladen B.

Não está vendo esta opção no Windows 10
Douglas Gaskell

2

Você também pode ativar o tunelamento dividido usando o PowerShell. Por exemplo, no Windows 10, a opção "Usar gateway padrão no controle remoto" não é acessível.

Set-VpnConnection -Name vpn-connection-name -SplitTunneling $true

1

Verifique a documentação da Cisco VPN em busca de palavras-chave como "rota padrão" ou "rota persistente" na esperança de encontrar uma opção para desativar a configuração da rota ou gateway padrão para clientes VPN.


Eu sei exatamente onde está a opção, mas infelizmente está no servidor VPN que eu não controlo.
Domchi

1
  1. Exclua todas as rotas que apontam 10.0.53.1como gateway.
  2. Adicione uma rota para 10.0.53.0mascarar 255.255.255.0através do mesmo gateway.

Eu apenas tentei e não consigo fazê-lo funcionar. Quando removo a rota persistente (exclusão de rota 0.0.0.0 mascara 0.0.0.0 10.0.53.1), perco o acesso à rede VPN e ainda não consigo me conectar à LAN local. Quando entro em "route add 10.0.53.0 mask 255.255.255.0 10.0.53.1", recebo a mensagem: "Falha na adição da rota: elemento não encontrado." Somente quando eu me desconecto da VPN posso acessar novamente a LAN local.
Domchi

11
Conversei com o cara da VPN em nossa empresa. Parece que a Cisco VPN mexe com a rede em um nível mais baixo, portanto não é possível modificar as rotas dessa maneira. Embora não tenha resolvido o meu problema, sua resposta me ajudou, então estou aceitando.
Domchi
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.