Existe uma maneira de saber qual processo mudou uma rota no Windows 7?

1

Eu tenho uma situação em que nossos clientes do Windows 7 (o Windows 10 funciona bem) estão tendo problemas de conectividade intermitente ao se conectar através da VPN do Checkpoint Endpoint Connect. O problema se manifesta como uma adição de rota mais específica para um determinado host em nossa rede interna que tenta rotear o tráfego fora da VPN quando não deveria.

O usuário A está em casa na rede privada 192.168.1.100. Este utilizador liga-se à rede da empresa através do referido Checkpoint VPN, obtém o endereço de rede privada de 10.1.7.100 para o referido túnel. Essa instanciação de conexão é um tipo híbrido em que o tráfego destinado ao espaço IP público flui pela rede 192.168.1.0/24 e é NAT para o espaço IP público, e o tráfego destinado para nossos recursos privados flui pela VPN. Isso funciona para quase tudo que usamos, exceto um aplicativo .net. Esse aplicativo usa o HTTP REST para se comunicar com um servidor interno em 10.1.4.50.

Temos uma rota na configuração do cliente VPN para 10.1.4.0/24 que envia todo o tráfego 10.1.4 para fora do endereço do gateway de VPN no outro lado do nosso túnel na métrica 1.

Quando o problema ocorre, vemos uma alteração na tabela de roteamento que insere uma rota mais específica para o IP dos servidores de destino apenas (neste caso, 10.1.4.50), com uma métrica de 11 e um Gateway de 192.168.1.1 (essa é a gw padrão para a interface base em que o túnel fica no topo de). Quando essa rota fica ativa, tudo falha para esse servidor de destino apenas porque é roteado para fora do túnel. Outro tráfego destinado a outros hosts em qualquer uma de nossas redes internas ainda funciona, incluindo outros hosts em 10.1.4.0/24.

Nós consultamos a Checkpoint e eles dizem que seu cliente não insere rotas espúrias na pilha IP assim, assim que o túnel é configurado, então deve ser algo diferente. Mas encontrar o que está inserindo a rota e por que está se mostrando muito difícil.

Eu tenho usado alguns utilitários da NirSoft para ver as alterações de rotas em tempo real, e também explorei alguns utilitários C ++ que usam NotifyRouteChange para exibir a atividade de mudança de rota, mas nenhum deles me dá o nível de detalhes que realmente preciso. para descobrir qual processo realmente fez a inserção da rota.

Alguém pode me dizer como encontrar o nome ou o ID do processo que está fazendo modificações no roteiro? Ou recomendar uma alternativa para determinar qual processo está realmente fazendo as coisas ruins para minhas tabelas de rotas? Se realmente é o software Checkpoints VPN, posso forçar o problema com eles. Mas sem outra evidência, estou um pouco preso.

Obrigado por qualquer ajuda!

    
por Frank Hare 13.01.2017 / 21:38

0 respostas