私は 2 つの VPN を持っています。VPN1 は自動的にログイン前に接続し、すべてのトラフィックを通過させることでコンシューマー VPN のように動作します。ユーザーはこれを制御できません。ログイン前に接続する必要があるため、ユーザー プロファイルではなくシステムによって実行されます。これは、VPN1 ゲートウェイへのすべてのトラフィックを強制的に暗号化したいので、いずれにしても望ましいことです。
ユーザーが手動で VPN2 に接続できるようにして、より機密性の高いリソースを含むネットワークへのアクセスを可能にしたいと考えています。VPN2 は、そのネットワークに出入りする唯一の手段であり、ファイアウォールが他のすべてをブロックします。VPN2 のみに接続すると、インターネットにアクセスできなくなります。
問題は、ユーザーが両方の VPN に接続している場合、クライアントがブリッジとして機能し、VPN1 経由で VPN2 をインターネットに公開できることです。私は、VPN1 が使用するのと同じ静的ルートをプッシュして、Windows にすべてのトラフィックを VPN2 経由でプッシュするように指示することで、これを回避できる確実な方法があると考えました。ただし、ルート メトリックを 1 に設定して優先するようにします。これにより、すべてのトラフィックが VPN2 経由でプッシュされ、ファイアウォールが外部へのトラフィックをすべてブロックするため、インターネットが利用できなくなります。
しかし、Windows 10 は次善の静的ルートを自動的に試行するようです。そのため、VPN2 ゲートウェイ経由で宛先に到達する試みが数回失敗すると、メトリックが高いにもかかわらず VPN1 が使用されます。
このフェイルオーバーを防ぐ方法はありますか? または、フェイルオーバーを回避できるように、それに関するドキュメントはありますか? たとえば、フェイルオーバーが諦める前に 3 つのゲートウェイを試行するので、ファイアウォールに通じる 4 つの優先度の高い静的ルートを追加するなどです。