Não é possível alterar rotas com o VPN Client

8

Minha conexão VPN força todo o tráfego da Internet através do túnel, e isso é muito lento. Eu quero ser capaz de encapsular apenas certos endereços IP, e fazer isso ao meu lado (lado do cliente).

Estou conectando a uma VPN com FortiSSL Client , a tabela de roteamento é assim antes que uma conexão seja estabelecida:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101     40
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.101    276
    192.168.0.101  255.255.255.255         On-link     192.168.0.101    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.101    276
    192.168.119.0    255.255.255.0         On-link     192.168.119.1    276
    192.168.119.1  255.255.255.255         On-link     192.168.119.1    276
  192.168.119.255  255.255.255.255         On-link     192.168.119.1    276
    192.168.221.0    255.255.255.0         On-link     192.168.221.1    276
    192.168.221.1  255.255.255.255         On-link     192.168.221.1    276
  192.168.221.255  255.255.255.255         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.119.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.101    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.119.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.221.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.101    276

Após a conexão, é assim:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101   4265
          0.0.0.0          0.0.0.0         On-link        172.16.0.1     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       172.16.0.1  255.255.255.255         On-link        172.16.0.1    276
      192.168.0.0    255.255.255.0         On-link     192.168.0.101   4501
    192.168.0.101  255.255.255.255         On-link     192.168.0.101   4501
    192.168.0.255  255.255.255.255         On-link     192.168.0.101   4501
    192.168.119.0    255.255.255.0         On-link     192.168.119.1   4501
    192.168.119.1  255.255.255.255         On-link     192.168.119.1   4501
  192.168.119.255  255.255.255.255         On-link     192.168.119.1   4501
    192.168.221.0    255.255.255.0         On-link     192.168.221.1   4501
    192.168.221.1  255.255.255.255         On-link     192.168.221.1   4501
  192.168.221.255  255.255.255.255         On-link     192.168.221.1   4501
   200.250.246.74  255.255.255.255      192.168.0.1    192.168.0.101   4245
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.119.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.221.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.0.101   4502
        224.0.0.0        240.0.0.0         On-link        172.16.0.1     21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.119.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.221.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.0.101   4501
  255.255.255.255  255.255.255.255         On-link        172.16.0.1    276

O cliente VPN coloca uma rota pega-tudo com uma métrica mais baixa do que todas as minhas outras rotas e isso encaminha todo o tráfego da Internet através do túnel. Tentei alterar a métrica da minha rota de internet padrão para um valor mais baixo:

C:\Windows\system32>route change 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 10 if 13
OK!

Mas nada mudou.

Então eu tentei excluir a rota "pega-tudo" da VPN, aquela com a métrica 21 acima:

C:\Windows\system32>route delete 0.0.0.0 mask 0.0.0.0 if 50
OK!

E quebrou tudo:

C:\Windows\system32>ping 8.8.8.8

Pinging 8.8.8.8 with 32 bytes of data:
PING: transmit failed. General failure.

Eu também tentei mudar a métrica nos adaptadores, mas o FortiSSL Client substitui todas as configurações quando se conecta, então não ajudou.

A correção deve vir do meu lado, já que as pessoas do outro lado levam dias para responder.

Estou executando o Windows 7 x64 se isso ajudar.

- ATUALIZAÇÃO (2013-12-24) -

Graças à dica do mbrownnyc , eu examinei o problema com o Rohitab e descobri os relógios FortiSSL Client a tabela de rotas com a chamada% API% Helper IP Helper.

Eu configurei um ponto de interrupção antes de NotifyRouteChange chamar e usei a opção "Ignorar chamada" para impedir que o FortiSSL redefinisse as métricas de rota, e agora tenho:

No entanto, quando eu executo o tracert, minha rota ainda passa pela VPN:

C:\Windows\system32>tracert www.google.com

Tracing route to www.google.com [173.194.118.83]
over a maximum of 30 hops:

  1    45 ms    47 ms    45 ms  Jurema [172.16.0.1]

Existe algum aspecto da rede do Windows que eu não conheço que possa favorecer uma determinada rota, mesmo se as métricas da rota de impressão disserem o contrário?

    
por Juliano 16.12.2013 / 18:13

1 resposta

2

Observe que não estou usando notação de rede regular para endereçar aqui (como CIDR ou até host/mask notação, para não confundir o usuário).

Em vez de excluir sua rota "gateway padrão" ( 0.0.0.0 mask 0.0.0.0 ) para que sua pilha de rede não tenha idéia de onde enviar a maioria dos pacotes, tente elevar a métrica da rota VPN abaixo da rota padrão (neste caso 4265 ).

Depois de se conectar ao cliente Fortigate:

route change 0.0.0.0 mask 0.0.0.0 172.16.0.1 metric 4266 if N

Em que N é o número da interface para a interface fortissl retornada no início de route print .

A pilha de rede deve tratar isso corretamente:

  • A rota que "inclui os endereços de destino" manipulará os pacotes (a rota informa à pilha de rede para enviar pacotes destinados a this IP para this gateway para roteamento adicional).
  • Todos os pacotes com um IP de destino 172.16.*.* serão enviados para a VPN; porque a pilha de rede do Windows sabe que, se houver um endereço anexado a uma interface, essa interface é como você acessa outros IPs nesse intervalo de endereços. Eu posso ficar mais explícito com o intervalo se você postar a "Subnet Mask" para o 172.16.0.1 .

Você deve determinar os endereços IP dos recursos dos quais você precisa acessar através da VPN. Você pode fazer isso facilmente usando nslookup [hostname of resource] quando conectado sem ter ajustado as rotas.

[rant]

Eu não tenho nenhum problema em permitir o tunelamento dividido pela VPN, especialmente por causa do problema de uso que você cita. Se o seu departamento de TI considera o tunelamento dividido de um mecanismo de segurança, eles precisam repensar o que estão fazendo:

    O acesso dos clientes VPN aos recursos deve ser isolado e altamente restrito, como se eles estivessem sendo acessados pela Internet (porque os ativos em que você não declara o controle completo apresentam maior risco do que os ativos em que você pode afirmar alguns). >
  • Eles devem integrar um mecanismo de controle de acesso à rede para clientes VPN. Isso pode permitir que eles apliquem algumas políticas nas máquinas clientes (como "as definições de antivírus estão atualizadas?", Etc etc).
  • Considere o uso de uma solução rígida como o Desktop Virtual Fortigate SSL VPN (que é bastante fácil de configurar e livre [me pensa] com a licença SSL VPN).

[/ rant]

    
por 17.12.2013 / 17:07

Tags