VPN 클라이언트로 경로를 변경할 수 없습니다

내 VPN 연결은 터널을 통한 모든 인터넷 트래픽을 강제로 수행하며 속도가 매우 느립니다. 특정 IP 주소 만 터널링하고 내 쪽 (클라이언트 쪽)에서 할 수 있기를 원합니다.

FortiSSL Client 로 VPN에 연결하고 있는데 연결이 설정되기 전에 라우팅 테이블은 다음과 같습니다.

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101     40
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.101    276
    192.168.0.101  255.255.255.255         On-link     192.168.0.101    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.101    276
    192.168.119.0    255.255.255.0         On-link     192.168.119.1    276
    192.168.119.1  255.255.255.255         On-link     192.168.119.1    276
  192.168.119.255  255.255.255.255         On-link     192.168.119.1    276
    192.168.221.0    255.255.255.0         On-link     192.168.221.1    276
    192.168.221.1  255.255.255.255         On-link     192.168.221.1    276
  192.168.221.255  255.255.255.255         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.119.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.101    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.119.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.221.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.101    276

연결하면 다음과 같습니다.

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101   4265
          0.0.0.0          0.0.0.0         On-link        172.16.0.1     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       172.16.0.1  255.255.255.255         On-link        172.16.0.1    276
      192.168.0.0    255.255.255.0         On-link     192.168.0.101   4501
    192.168.0.101  255.255.255.255         On-link     192.168.0.101   4501
    192.168.0.255  255.255.255.255         On-link     192.168.0.101   4501
    192.168.119.0    255.255.255.0         On-link     192.168.119.1   4501
    192.168.119.1  255.255.255.255         On-link     192.168.119.1   4501
  192.168.119.255  255.255.255.255         On-link     192.168.119.1   4501
    192.168.221.0    255.255.255.0         On-link     192.168.221.1   4501
    192.168.221.1  255.255.255.255         On-link     192.168.221.1   4501
  192.168.221.255  255.255.255.255         On-link     192.168.221.1   4501
   200.250.246.74  255.255.255.255      192.168.0.1    192.168.0.101   4245
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.119.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.221.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.0.101   4502
        224.0.0.0        240.0.0.0         On-link        172.16.0.1     21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.119.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.221.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.0.101   4501
  255.255.255.255  255.255.255.255         On-link        172.16.0.1    276

VPN 클라이언트는 다른 모든 경로보다 메트릭이 낮은 포괄 경로를 설정하고 모든 인터넷 트래픽을 터널을 통해 라우팅합니다. 기본 인터넷 경로의 메트릭을 더 낮은 값으로 변경하려고했습니다.

C:\Windows\system32>route change 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 10 if 13
OK!

그러나 아무것도 바뀌지 않았습니다.

그런 다음 VPN의 "catch-all"경로 (위의 메트릭 21이있는 경로)를 삭제하려고했습니다.

C:\Windows\system32>route delete 0.0.0.0 mask 0.0.0.0 if 50
OK!

그리고 그것은 모든 것을 깨뜨 렸습니다.

C:\Windows\system32>ping 8.8.8.8

Pinging 8.8.8.8 with 32 bytes of data:
PING: transmit failed. General failure.

어댑터의 메트릭도 변경하려고 시도했지만 FortiSSL 클라이언트가 연결되면 모든 설정을 무시하므로 도움이되지 않았습니다.

다른 쪽 사람들이 응답하는 데 며칠이 걸리므로 수정은 내 편에서 가져와야합니다.

도움이된다면 Windows 7 x64를 실행하고 있습니다.

-업데이트 (2013-12-24)-

mbrownnyc 의 팁 덕분에 Rohitab 의 문제를 조사한 결과 FortiSSL Client가 NotifyRouteChangeIP 도우미 API 호출을 사용하여 경로 테이블을 감시한다는 것을 알았습니다 .

NotifyRouteChange통화 전에 중단 점을 설정하고 "통화 건너 뛰기"옵션을 사용하여 FortiSSL이 경로 메트릭을 재설정하지 못하도록 막았습니다.

Wi-Fi 어댑터를 선호하는 메트릭이있는 경로

그러나 tracert를 실행할 때 여전히 경로가 VPN을 통해 나갑니다.

C:\Windows\system32>tracert www.google.com

Tracing route to www.google.com [173.194.118.83]
over a maximum of 30 hops:

  1    45 ms    47 ms    45 ms  Jurema [172.16.0.1]

내가 알지 못하는 Windows 네트워킹의 측면이 경로 인쇄의 메트릭이 다르게 말하더라도 특정 경로를 선호 할 수 있습니까?

windows vpn

— 줄리아노
소스

VPN 클라이언트가 해당 정책을 시행하는 것이 중요하지 않습니까? 회사에는 아마도 스플릿 터널링을 사용하지 않아야하는 보안 정책이있을 수 있으며 해당 정책을 우회하는 것이 보안 위험이 될 수 있습니다.

— Ryan Ries

꽤 대조적 인 것. 웹 트래픽이 인터넷 IP 주소를 통해 나가기 때문에 이제이 회사의 파트너의 IP 제한 웹 서비스에 액세스 할 수 있습니다. "VPN을 통해 모든 것을 터널링하므로 라우팅 테이블에 다른 IP 또는 서브넷을 추가 할 필요가 없습니다"에서와 같이 매우 게으른 구성입니다.

@Juliano 분할 터널링을 피하는 것은 사용자가 한 터널로 들어 와서 다른 터널의 데이터에 액세스하지 못하게하는 것입니다. 터널링중인 네트워크에 동일한 액세스 권한이 있어야 네트워크에있는 경우 액세스 할 수 있습니다. 그러나 분할 터널을 사용하여 해당 액세스 권한을 세계에 부여하고 싶지는 않습니다.

— BillThor

실제로 내가 해당 네트워크에 있다면 원하는 인터넷 연결 (3g / 4g)에 우선 순위를 부여하기 위해 경로와 메트릭을 설정할 수 있습니다. 엄청나게 제한적인 VPN 클라이언트의 영향을받지 않기 때문에이 옵션을 사용할 수 있습니다. 분할 터널링을 방지하는 것은 이론 상으로는 괜찮지 만 실제로는 실제로 해당 네트워크에있는 것보다 더 제한적입니다. 너희들은 탈출구를 찾는 것을 돕는 대신 나를 아프게하는 보안 구현을 정당화하고있다. 이것은 당면한 문제이다. 이것을 우회하는 방법은 무엇입니까?

인터페이스 메트릭도 있습니다 : ncpa.cpl> NIC 속성> IP v4 스택 항목 속성> 일반 탭 / 고급> 자동 메트릭. 두 인터페이스에서 모두보십시오. 또한 멀티 홈 Windows에 대한이 블로그 게시물을 참조하십시오 .

— mbrownnyc

여기서는 주소 지정을 위해 정기 네트워킹 표기법을 사용하지 않습니다 (예 : CIDR 또는 host/mask어커 스터와 혼동하지 않기위한 표기법).

0.0.0.0 mask 0.0.0.0네트워크 스택에서 대부분의 패킷을 보낼 위치를 모를 수 있도록 "기본 게이트웨이"경로 ( ) 를 삭제하는 대신 VPN 경로의 메트릭을 기본 경로 (이 경우 4265) 보다 아래로 올리십시오 .

Fortigate 클라이언트와 연결 한 후 :

route change 0.0.0.0 mask 0.0.0.0 172.16.0.1 metric 4266 if N

여기서 N은 fortissl시작 부분에 반환 된 인터페이스 의 인터페이스 번호 입니다 route print.

네트워킹 스택은이를 올바르게 처리해야합니다.

"목적지 주소를 포함하는"경로는 패킷을 처리합니다 (이 경로는 추가 라우팅 this IP을 this gateway위해 예정된 패킷을 보내도록 네트워크 스택에 지시합니다 ).
대상 IP 172.16.*.*가있는 모든 패킷 이 VPN으로 전송됩니다. Windows 네트워크 스택은 인터페이스에 주소가 연결되어 있으면 해당 인터페이스가 해당 주소 범위의 다른 IP에 액세스하는 방법임을 알고 있기 때문입니다. 에 대한 "서브넷 마스크"를 게시하면 범위를 더 명확하게 알 수 있습니다 172.16.0.1.

VPN을 통해 액세스해야하는 리소스의 IP 주소를 결정해야합니다. nslookup [hostname of resource]경로를 조정하지 않고 연결했을 때 쉽게 사용할 수 있습니다 .

[rant]

VPN을 통한 분할 터널링을 허용하는 데 문제가 없습니다. 특히 인용 한 사용 문제 때문입니다. IT 부서에서 스플릿 터널링 보안 메커니즘을 고려하고 있다면 다음을 수행해야합니다.

VPN 클라이언트의 리소스 액세스는 인터넷을 통해 액세스되는 것처럼 격리되고 엄격하게 제한되어야합니다 (완전한 제어를하지 않는 자산은 일부를 어설 션 할 수있는 자산보다 위험이 높기 때문).
VPN 클라이언트를위한 네트워크 액세스 제어 메커니즘을 통합해야합니다. 이를 통해 클라이언트 컴퓨터에 일부 정책을 적용 할 수 있습니다 (예 : "바이러스 백신 정의가 최신입니까?"등).
Fortigate SSL VPN 가상 데스크톱 (SSL VPN 라이센스로 구성하기 쉽고 무료로 생각)과 같은 견고한 솔루션을 사용해보십시오 .

[/ rant]

— 엠 브라운
소스

VPN의 0.0.0.0 경로 메트릭을 인터넷 경로보다 높은 값으로 변경하려고하면 FortiSSL Client가 인터넷 경로를 더 높은 메트릭으로 설정합니다.

— 줄리아노

"after"테이블에는 두 개의 기본 게이트웨이 경로가 있습니다. VPN의 0.0.0.0 및 Wi-Fi 카드의 0.0.0.0 VPN의 기본 게이트웨이를 삭제했지만 Wi-Fi 카드를 그대로 두었지만 이전과 같이 만들어야하지만 모든 것이 깨졌습니다. fortissl은 사람들이 내가하려는 일을하지 못하게하거나 잘못하고있는 것을 막기 위해 스택에 무언가를 수행합니다.

— 줄리아노

인터페이스가 다르므로 경로의 경로 비용을 개별적으로 조정할 수 있어야합니다. 고객이 라우팅 테이블을 볼 경우 아무런 도움이되지 않습니다. Cisco VPN 클라이언트는 시스템에서 제어 할 수있는 PRF 파일로 구성됩니다. Fortigate SSL 클라이언트는 레지스트리 또는 파일과 동일 할 수 있습니다. 설정이 어디에 있는지 확실하지 않습니다. 약간 찌르면 클라이언트를 구성 할 수있는 것을 찾을 수 있습니다. 또한 "분할 터널링 지원"은 Fortigate 장치에서 "서버 측"을 구성합니다.

— mbrownnyc

내부를 살펴보십시오 : HKEY_CURRENT_USER\Software\Fortinet\SslvpnClient. Tunnel흥미 있어야합니다. 찾은 내용을 다시 게시하십시오. 또는 답변으로 표시하고community wiki 다른 사람들을 도울 수 있도록 .

— mbrownnyc

너무 나쁘다. 상황을 잘 모르지만 분할 터널링 요청을하는 것이 가치가 있습니까? 그렇지 않으면 rohitab 또는 MSFT의 우회와 같은 일부 API 호출을 가로 채야 할 것 같습니다. 즐거운 주말 프로젝트 일 수 있습니다!

— mbrownnyc