さて、状況はこうです。私はいくつかのプロジェクトでコンサルタントをしていますが、一部のプロジェクトでは、サーバーにアクセスする前に VPN に接続する必要があります。問題は、この特定のクライアントの VPN に接続すると、多くの仕事用リソース (Sharepoint、Outlook、Skype、そして最も重要な Pandora) への接続が切断されることです。
数年前、私も同じような問題を抱えていました。友人が、自分のサイト/サーバーへのトラフィックだけが VPN を経由するようにルートを追加しました。問題は、友人がどうやってそれを実行したのかが全く分からないことです。MS サイトでいくつか調べてルートを追加しようとしましたが、うまくいかないようです。
これが私が持っているものです。
C:\Users\Dizzy>route print
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
32...........................Blackhawk
1...........................Software Loopback Interface 1
===========================================================================
私は「route -p」を使用して永続的なルートを追加しようとしましたが、これが必要だと思いました。接続すると、接続先のサーバー IP は 172.17.15.243 になります。これで次のようになります。
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
Skype や Pandora にまだアクセスできないので、これは機能していないようです。
この時点では、何か間違った設定をしたのか、それとも何か他の原因があるのかは分かりません。私が気づいたことの1つは、昨夜はインターフェースが29番だったのに、今は32番になっていることです。
ああ、私は Windows 10 Pro を使用しており、MS ストアから Cisco Connect をインストールしているので、VPN の管理には Windows を使用しています。
VPN に接続されていません:
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.86.1 192.168.86.37 35
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.86.0 255.255.255.0 On-link 192.168.86.37 291
192.168.86.37 255.255.255.255 On-link 192.168.86.37 291
192.168.86.255 255.255.255.255 On-link 192.168.86.37 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.86.37 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.86.37 291
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
14 291 fe80::/64 On-link
14 291 fe80::c86d:557e:caf3:da69/128
On-link
1 331 ff00::/8 On-link
14 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
私が所有する VPN に接続しました:
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
32...........................Blackhawk
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.86.1 192.168.86.37 4260
0.0.0.0 0.0.0.0 On-link 172.17.101.209 56
65.70.114.5 255.255.255.255 192.168.86.1 192.168.86.37 4516
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4556
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4556
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
172.17.15.0 255.255.255.0 On-link 172.17.101.209 56
172.17.15.255 255.255.255.255 On-link 172.17.101.209 311
172.17.101.209 255.255.255.255 On-link 172.17.101.209 311
192.168.86.0 255.255.255.0 On-link 192.168.86.37 4516
192.168.86.37 255.255.255.255 On-link 192.168.86.37 4516
192.168.86.255 255.255.255.255 On-link 192.168.86.37 4516
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4556
224.0.0.0 240.0.0.0 On-link 192.168.86.37 4516
224.0.0.0 240.0.0.0 On-link 172.17.101.209 56
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
255.255.255.255 255.255.255.255 On-link 192.168.86.37 4516
255.255.255.255 255.255.255.255 On-link 172.17.101.209 311
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
14 291 fe80::/64 On-link
14 291 fe80::c86d:557e:caf3:da69/128
On-link
1 331 ff00::/8 On-link
14 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
これはデスクトップ上にあるため、ポータブル ソリューションである必要はなく、VPN に接続している間は 1 つのリソースにアクセスするだけで済みます。ping を実行すると、IP アドレスは 172.17.15.243 になります。NSLookUp を実行すると、192.168.86.1 が返されます。ルートを追加するときに使用する LAN ゲートウェイを見つけるにはどうすればよいですか? 0.0.0.0 を使用しましたが、正しいかどうかわかりません。
私はかなり技術志向ですが、このレベルのネットワーキングはいつも困難を伴います。
答え1
問題の原因は何ですか
ここで起きていることは、VPN に接続すると、非常に幅広いルートが OS のルート テーブルにプッシュされるということです。VPN に接続する前と後に `route print` を実行すると、VPN 接続の副作用としてどのようなルートが追加されるかを確認できます。次のルートの組み合わせがルート テーブルに追加されていることがわかります。
===========================================================================
Network Address Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 On-link 172.17.101.209 56
65.70.114.5 255.255.255.255 192.168.86.1 192.168.86.37 4516
172.17.15.0 255.255.255.0 On-link 172.17.101.209 56
===========================================================================
他のルートも追加されます。それらについてはあまり気にしません。
追加された最初のルートは、「どこでも」宛てのトラフィックは VPN トンネルを使用する必要があることを示しています。したがって、これはデフォルト ルートです。より具体的な宛先がない限り、マシンから送信されるトラフィックはすべて VPN ゲートウェイを使用します。表には、「どこでも LAN ゲートウェイを使用する」ことを示す古いデフォルト ルートがまだリストされていますが、そのメトリックは高くなっています (悪い)。このルートはもはや推奨されません。
2 番目に追加されたルートは、VPN サーバーのパブリック IP 宛てのトラフィックは古いゲートウェイを使用する必要があるという穴を開けます。メトリックは高いですが、ルートはより具体的であることに注意してください。ネットマスクは255.255.255.255
「この IP アドレスのみ」を意味します。具体的さはメトリックよりも優先されます。
追加された 3 番目のルートは、VPN ゲートウェイを使用する特定の IP 範囲です。VPN ゲートウェイがすでにデフォルト ルートであることを考えると、これは冗長な情報です。これが追加された理由はよくわかりませんが、一部のユーザーが遭遇した特定の問題のために、VPN サービスの IT 管理者がこれを手動で追加したのではないかと推測できます。
追加された他のルートには、新しいデフォルトのマルチキャスト(224.0.0.0)とブロードキャスト(。.*.255) ルート。また、各ネットワーク上のマシン独自の IP アドレス用のルートも追加されます。なぜこれらが必要なのかはわかりませんが、Windows の問題かもしれません。
技術的に、何が問題なのでしょうか?
これらのルートは、VPN トンネル自体と直近のローカル LAN のトラフィックを除くすべてのトラフィックを VPN トンネル経由で送信するようにコンピュータに指示します。これは、VPN ゲートウェイがトラフィックをリモート イントラネット (インターネットとは別) 内のより多くのサブネットにルーティングできるため (多くの場合、ルーティングする必要があります) に行われます。たとえば、VPN に接続すると、コンピュータに 172.17.101.209/24 という IP アドレスが発行されます。リモート ネットワーク上のメール サーバーは 172.17.15.4/24、Sharepoint は 172.17.7.16/24、Skype は 172.17.55.27/24 などにある可能性があります。これらはすべて VPN IP とは別のサブネットにあり、VPN ゲートウェイだけがこれらのマシンにトラフィックをルーティングできます。各 IP またはサブネットをルート テーブルに個別にプッシュする (例: 172.17.15.0 へのルート) よりも、企業の IT 部門がすべてのトラフィックのデフォルト ルートを設定/上書きして VPN を使用し、VPN ゲートウェイが到達したいすべてのサブネットに接続する方法を判断できるようにする方が簡単です。VPN クライアントに新しいデフォルト ルートをプッシュすると、それらのクライアントがアクセスしようとしているリソースがローカル ネットワーク内にもある場合に問題になります。同じ例が当てはまります: メール サーバー、内部 Web サイト、Skype など。これらにアクセスするにはローカル ゲートウェイが必要です。
理論的には、この問題をどのように解決するのでしょうか?
どのネットワークがどのゲートウェイにあるかを知る必要があります。ゲートウェイからルーティングできないネットワークにゲートウェイを使用しようとすると、`DESTINATION NOT REACHABLE` 応答が返されます。リモート ゲートウェイを使用してローカル SharePoint サーバーにアクセスすると、この応答が返されます。このため、OS のルート テーブルに手動でルートを追加して、さまざまな IP 範囲に使用するゲートウェイを指定するという難しい状況になります。特に大規模な企業ネットワークでは、両方のネットワークが同じ内部 IP 範囲を使用する可能性があるため、これは非常に厄介な問題になる可能性があります。基本的に、2 つのゲートウェイのうち 1 つをデフォルト ゲートウェイとして選択し、もう一方のゲートウェイから必要なサブネットごとにルートを追加します。この問題を解決するにはどのようなコマンドを実行すればよいでしょうか?
おっしゃる通りです。`route -p add` タイプのコマンドを実行して、デフォルト ゲートウェイではないゲートウェイのルートを追加します。同僚が VPN のゲートウェイをデフォルト ゲートウェイとして使用し、アクセスする必要があるローカル サブセットごとにルートを手動で追加することにしたようです。`nslookup` を使用して、ローカル LAN から必要なサーバーの IP アドレスを見つけ、そのサービスが存在するサブネット全体をルート テーブルに追加できます。たとえば、 を実行するnslookup sharepoint.localcompany.com
と、IP 192.168.12.51 が返されます。 次に を実行しますroute -p add 192.168.12.0 mask 255.255.255.0 <LAN-gateway-ip>
。
うまくいけば、すべてが機能するために 1 つまたは 2 つのサブネットを追加するだけで済みます。これらのサブネットが一般的ではないことを願います (例: 192.168.0.0/24、192.168.0.1/24、または 10.0.0.0/24)。以下の「その他の問題」を参照してください。
新しい情報を編集
ルート テーブルに表示されている IP アドレスに基づいて、このコマンドを実行して、状況が改善されるかどうかを確認します。LAN に使用しているのがインターフェイス 10 か 14 のどちらなのかはわかりませんので、設定に基づいて対応する番号を選択してください。route -p add 192.168.0.0 mask 255.255.0.0 0.0.0.0 IF [10/14]
このコマンドは、「192.168.0.0 ~ 192.168.255.255 の範囲の IP に対して、LAN インターフェイスで学習したゲートウェイを使用する」というものです。これにより、特定の機能が動作しなくなる可能性があります。その場合は、add
を に交換することでロールバックできますdelete
。
その他の問題
この問題全体が DNS サブシステムで再現されます。2 つの異なるネットワークに DNS サーバーがあり、`internal-sharepoint..com` はリモート DNS サーバーにありません。この作業をユーザーに任せるのは気が進みませんが、これはまったく別の問題です。TL;DR: どの DNS サーバーを使用するかを知るには、'DNS サフィックス' に依存していると思います。これについてサポートが必要な場合は、別の質問を投稿してください。これは移植性がありません。どのサブネットをどのゲートウェイで使用するかをハードコードしています。自宅で仕事をしていて、自分の会社の VPN を使用している場合、追加したすべてのルートを更新して、オフィスで使用したゲートウェイではなく、会社の VPN ゲートウェイを使用する必要があります。これらのサブネットを動作させる必要がある別のネットワークに移動する場合は、これらのルートを削除する必要があります。主に、これが私の回答が長くなる理由です。コマンドを実行するだけでは、後で発生する新しい問題に気付かないでしょう。これらの問題が発生した場合は、ルート テーブルに加えた変更を取り消すか、修正する必要があります。
IP 競合の問題。共通のサブセットを追加する必要がある場合、そのサブネットをローカル ネットワークとリモート ネットワークの両方で動作させる必要がある状況に必然的に/すぐに遭遇することになります。不便さを受け入れ、手動で追加したルートをすべて削除し、必要に応じて VPN を有効/無効にしてローカル/リモート サービスにアクセスするのが最も簡単だと思います。
この説明が不明瞭な場合や、さらに詳しく説明できる部分がある場合はお知らせください。