Route für geschäftlichen VPN-Datenverkehr erstellen

Question

Was hat Ihr Problem verursacht?

Was hier passiert, ist, dass durch die Verbindung zum VPN eine sehr breite Route in die Routentabelle Ihres Betriebssystems eingefügt wird. Sie können „route print“ vor und nach der Verbindung zum VPN ausführen, um zu sehen, welche Routen als Nebeneffekt der Verbindung zum VPN hinzugefügt werden.

Sie sehen, dass Ihrer Routentabelle die folgende Routenkombination hinzugefügt wird:

===========================================================================
  Network Address          Netmask         Gateway         Interface  Metric
          0.0.0.0          0.0.0.0         On-link    172.17.101.209      56
      65.70.114.5  255.255.255.255    192.168.86.1     192.168.86.37    4516
      172.17.15.0    255.255.255.0         On-link    172.17.101.209      56
===========================================================================

Es kommen auch noch andere Routen hinzu. Die interessieren uns nicht so sehr.

Die erste hinzugefügte Route besagt, dass Verkehr, der für „irgendwo“ bestimmt ist, den VPN-Tunnel verwenden soll. Dies ist also eine Standardroute. Sofern kein spezifischeres Ziel angegeben ist, verwendet jeglicher Verkehr, der Ihren Computer verlässt, das VPN-Gateway. Beachten Sie, dass in der Tabelle immer noch die alte Standardroute aufgeführt ist, die „das LAN-Gateway für überall verwenden“ angibt, deren Metrik jedoch höher (schlechter) ist. Diese Route wird nicht mehr bevorzugt.

Die zweite hinzugefügte Route schlägt eine Lücke, die besagt, dass Verkehr, der für die öffentliche IP des VPN-Servers bestimmt ist, das alte Gateway verwenden soll. Beachten Sie, dass die Route spezifischer ist, obwohl die Metrik höher ist. Die Netzmaske 255.255.255.255bedeutet „nur für diese IP-Adresse“. Die Spezifität hat Vorrang vor der Metrik.

Die dritte hinzugefügte Route ist ein bestimmter IP-Bereich, der das VPN-Gateway verwenden soll. Da das VPN-Gateway bereits die Standardroute ist, ist dies eine redundante Information. Ich weiß nicht wirklich, warum dies hinzugefügt wurde, aber ich kann mir vorstellen, dass der IT-Administrator des VPN-Dienstes dies wahrscheinlich manuell hinzugefügt hat, weil bei einigen Benutzern ein bestimmtes Problem aufgetreten ist.

Weitere hinzugefügte Routen sind die neuen Standard-Multicast- (224.0.0.0) und Broadcast- (..*.255)-Routen. Es werden auch Routen für die eigene IP-Adresse Ihres Computers in jedem Netzwerk hinzugefügt. Ich bin mir nicht sicher, warum diese benötigt werden; es könnte eine Windows-Sache sein.

Wo liegt das technische Problem?

Diese Routen weisen Ihren Computer an, den GESAMTEN Datenverkehr außer dem VPN-Tunnel selbst und dem Datenverkehr für das unmittelbare lokale LAN über den VPN-Tunnel zu senden. Dies geschieht, weil das VPN-Gateway Ihren Datenverkehr an mehrere Subnetze im Remote-Intranet (im Gegensatz zum Internet) weiterleiten kann (und dies häufig auch muss). Wenn Sie beispielsweise eine VPN-Verbindung herstellen, wird Ihrem Computer die IP-Adresse 172.17.101.209/24 zugewiesen. Die Mailserver im Remote-Netzwerk befinden sich möglicherweise unter 172.17.15.4/24, Sharepoint unter 172.17.7.16/24, Skype unter 172.17.55.27/24 usw. Diese befinden sich alle in separaten Subnetzen von Ihrer VPN-IP und nur das VPN-Gateway kann den Datenverkehr an diese Maschinen weiterleiten. Anstatt jede IP oder jedes Subnetz einzeln in Ihre Routentabelle zu übertragen (z. B. Ihre Route zu 172.17.15.0), ist es für die IT des Unternehmens einfacher, die Standardroute für den gesamten Datenverkehr so einzustellen/zu überschreiben, dass VPN verwendet wird, und das VPN-Gateway herausfinden zu lassen, wie Sie mit allen Subnetzen verbunden werden, die Sie erreichen möchten.

Das Übertragen einer neuen Standardroute an VPN-Clients wird dann zum Problem, wenn diese Clients auch Ressourcen in ihrem lokalen Netzwerk haben, auf die sie zugreifen möchten. Die gleichen Beispiele gelten auch für Mailserver, interne Websites, Skype usw. Sie benötigen Ihr lokales Gateway, um diese zu erreichen.

Wie lösen wir dieses Problem theoretisch?

Wir müssen wissen, welche Netzwerke sich auf welchem Gateway befinden. Wenn wir versuchen, ein Gateway für ein Netzwerk zu verwenden, das von diesem Gateway aus nicht geroutet werden kann, erhalten wir die Antwort „ZIEL NICHT ERREICHBAR“. Wenn wir das Remote-Gateway verwenden, um unseren lokalen SharePoint-Server zu erreichen, erhalten wir diese Antwort. Dies bringt uns in die schwierige Lage, Routen manuell zur Routentabelle unseres Betriebssystems hinzuzufügen und ihm mitzuteilen, welches Gateway für verschiedene IP-Bereiche verwendet werden soll. Dies kann sehr launisch sein, insbesondere in großen Unternehmensnetzwerken, da beide Netzwerke möglicherweise dieselben internen IP-Bereiche verwenden. Im Grunde befinden wir uns in einer Situation, in der wir eines der beiden Gateways als unser Standard-Gateway auswählen und dann Routen für einzelne Subnetze hinzufügen, die wir vom anderen Gateway benötigen.

Welchen Befehl führe ich aus, um dieses Problem zu beheben?

Sie haben Recht. Sie führen Befehle vom Typ „route -p add“ aus, um die Routen für das Gateway hinzuzufügen, das nicht Ihr Standard-Gateway ist. Es klingt, als hätte Ihr Kollege beschlossen, das Gateway des VPN als Standard-Gateway zu verwenden und dann manuell Routen für jede lokale Teilmenge hinzuzufügen, auf die Sie Zugriff benötigen. Sie können „nslookup“ verwenden, um die IP-Adressen der Server zu finden, die Sie in Ihrem lokalen LAN benötigen, und dann das gesamte Subnetz, in dem sich der Dienst befindet, zu Ihrer Routentabelle hinzufügen.

Ich würde beispielsweise ausführen nslookup sharepoint.localcompany.comund die IP-Adresse 192.168.12.51 zurückerhalten. Anschließend würde ich ausführen route -p add 192.168.12.0 mask 255.255.255.0 <LAN-gateway-ip>.

Hoffentlich müssen Sie nur ein oder zwei Subnetze hinzufügen, damit alles funktioniert. Hoffentlich sind diese Subnetze nicht üblich (z. B. 192.168.0.0/24, 192.168.0.1/24 oder 10.0.0.0/24). Siehe „andere Probleme“ weiter unten.

Für neue Informationen bearbeiten

Angesichts der IP-Adressen, die ich in Ihrer Routentabelle sehe, würde ich diesen Befehl ausführen und sehen, ob es besser funktioniert. Ich weiß nicht, ob Sie Schnittstelle 10 oder 14 für LAN verwenden, wählen Sie also die entsprechende Nummer basierend auf Ihrem Setup.

route -p add 192.168.0.0 mask 255.255.0.0 0.0.0.0 IF [10/14]

Dieser Befehl lautet: „Verwenden Sie das auf der LAN-Schnittstelle gelernte Gateway für IPs im Bereich 192.168.0.0 bis 192.168.255.255.“ Dadurch können bestimmte Dinge beschädigt werden. In diesem Fall können Sie es zurücksetzen, indem Sie es durch addersetzen delete.

Andere Probleme

Dieses gesamte Problem wird im DNS-Subsystem repliziert. Sie haben DNS-Server für zwei verschiedene Netzwerke und `internal-sharepoint..com` befindet sich nicht auf dem Remote-DNS-Server. Ich überlasse diese Aufgabe nur ungern dem Benutzer, aber es ist ein völlig anderes Problem, das es abzufangen gilt. TL;DR: Ich glaube, Sie verlassen sich auf „DNS-Suffixe“, um zu wissen, welcher DNS-Server verwendet werden soll. Bitte stellen Sie eine separate Frage, wenn Sie dabei Hilfe benötigen.

Dies ist nicht portierbar. Sie haben fest codiert, welche Subnetze mit welchen Gateways verwendet werden sollen. Wenn Sie von zu Hause aus arbeiten und das VPN Ihres Unternehmens verwenden, müssen alle hinzugefügten Routen aktualisiert werden, um das VPN-Gateway Ihres Unternehmens zu verwenden, anstatt das Gateway, das Sie möglicherweise von Ihrem Büro aus verwendet haben. Wenn Sie jemals in ein anderes Netzwerk wechseln, in dem diese Subnetze funktionieren müssen, müssen diese Routen entfernt werden. Dies ist hauptsächlich der Grund, warum meine Antwort so lang ist. Wenn Sie die Befehle einfach ausführen, werden Sie neue Probleme nicht erkennen, die erst später auftreten. Wenn diese Probleme auftreten, müssen Sie diese Änderungen, die Sie an Ihrer Routentabelle vorgenommen haben, rückgängig machen oder ändern.

IP-Konfliktprobleme. Wenn Sie eine gemeinsame Teilmenge hinzufügen müssten, würden Sie unweigerlich/bald in eine Situation geraten, in der dieses Teilnetz sowohl im lokalen als auch im Remote-Netzwerk funktionieren muss. Ich denke, es ist am einfachsten, die Unannehmlichkeiten einfach zu akzeptieren, alle manuell hinzugefügten Routen zu entfernen und VPN nach Bedarf zu aktivieren/deaktivieren, um auf lokale/Remote-Dienste zuzugreifen.

Bitte lassen Sie mich wissen, wenn diese Erklärung unklar ist oder ich einen Teil genauer erläutern kann.

Answer 1

Was hat Ihr Problem verursacht?

Was hier passiert, ist, dass durch die Verbindung zum VPN eine sehr breite Route in die Routentabelle Ihres Betriebssystems eingefügt wird. Sie können „route print“ vor und nach der Verbindung zum VPN ausführen, um zu sehen, welche Routen als Nebeneffekt der Verbindung zum VPN hinzugefügt werden.

Sie sehen, dass Ihrer Routentabelle die folgende Routenkombination hinzugefügt wird:

===========================================================================
  Network Address          Netmask         Gateway         Interface  Metric
          0.0.0.0          0.0.0.0         On-link    172.17.101.209      56
      65.70.114.5  255.255.255.255    192.168.86.1     192.168.86.37    4516
      172.17.15.0    255.255.255.0         On-link    172.17.101.209      56
===========================================================================

Es kommen auch noch andere Routen hinzu. Die interessieren uns nicht so sehr.

Die erste hinzugefügte Route besagt, dass Verkehr, der für „irgendwo“ bestimmt ist, den VPN-Tunnel verwenden soll. Dies ist also eine Standardroute. Sofern kein spezifischeres Ziel angegeben ist, verwendet jeglicher Verkehr, der Ihren Computer verlässt, das VPN-Gateway. Beachten Sie, dass in der Tabelle immer noch die alte Standardroute aufgeführt ist, die „das LAN-Gateway für überall verwenden“ angibt, deren Metrik jedoch höher (schlechter) ist. Diese Route wird nicht mehr bevorzugt.

Die zweite hinzugefügte Route schlägt eine Lücke, die besagt, dass Verkehr, der für die öffentliche IP des VPN-Servers bestimmt ist, das alte Gateway verwenden soll. Beachten Sie, dass die Route spezifischer ist, obwohl die Metrik höher ist. Die Netzmaske 255.255.255.255bedeutet „nur für diese IP-Adresse“. Die Spezifität hat Vorrang vor der Metrik.

Die dritte hinzugefügte Route ist ein bestimmter IP-Bereich, der das VPN-Gateway verwenden soll. Da das VPN-Gateway bereits die Standardroute ist, ist dies eine redundante Information. Ich weiß nicht wirklich, warum dies hinzugefügt wurde, aber ich kann mir vorstellen, dass der IT-Administrator des VPN-Dienstes dies wahrscheinlich manuell hinzugefügt hat, weil bei einigen Benutzern ein bestimmtes Problem aufgetreten ist.

Weitere hinzugefügte Routen sind die neuen Standard-Multicast- (224.0.0.0) und Broadcast- (..*.255)-Routen. Es werden auch Routen für die eigene IP-Adresse Ihres Computers in jedem Netzwerk hinzugefügt. Ich bin mir nicht sicher, warum diese benötigt werden; es könnte eine Windows-Sache sein.

Wo liegt das technische Problem?

Diese Routen weisen Ihren Computer an, den GESAMTEN Datenverkehr außer dem VPN-Tunnel selbst und dem Datenverkehr für das unmittelbare lokale LAN über den VPN-Tunnel zu senden. Dies geschieht, weil das VPN-Gateway Ihren Datenverkehr an mehrere Subnetze im Remote-Intranet (im Gegensatz zum Internet) weiterleiten kann (und dies häufig auch muss). Wenn Sie beispielsweise eine VPN-Verbindung herstellen, wird Ihrem Computer die IP-Adresse 172.17.101.209/24 zugewiesen. Die Mailserver im Remote-Netzwerk befinden sich möglicherweise unter 172.17.15.4/24, Sharepoint unter 172.17.7.16/24, Skype unter 172.17.55.27/24 usw. Diese befinden sich alle in separaten Subnetzen von Ihrer VPN-IP und nur das VPN-Gateway kann den Datenverkehr an diese Maschinen weiterleiten. Anstatt jede IP oder jedes Subnetz einzeln in Ihre Routentabelle zu übertragen (z. B. Ihre Route zu 172.17.15.0), ist es für die IT des Unternehmens einfacher, die Standardroute für den gesamten Datenverkehr so einzustellen/zu überschreiben, dass VPN verwendet wird, und das VPN-Gateway herausfinden zu lassen, wie Sie mit allen Subnetzen verbunden werden, die Sie erreichen möchten.

Das Übertragen einer neuen Standardroute an VPN-Clients wird dann zum Problem, wenn diese Clients auch Ressourcen in ihrem lokalen Netzwerk haben, auf die sie zugreifen möchten. Die gleichen Beispiele gelten auch für Mailserver, interne Websites, Skype usw. Sie benötigen Ihr lokales Gateway, um diese zu erreichen.

Wie lösen wir dieses Problem theoretisch?

Wir müssen wissen, welche Netzwerke sich auf welchem Gateway befinden. Wenn wir versuchen, ein Gateway für ein Netzwerk zu verwenden, das von diesem Gateway aus nicht geroutet werden kann, erhalten wir die Antwort „ZIEL NICHT ERREICHBAR“. Wenn wir das Remote-Gateway verwenden, um unseren lokalen SharePoint-Server zu erreichen, erhalten wir diese Antwort. Dies bringt uns in die schwierige Lage, Routen manuell zur Routentabelle unseres Betriebssystems hinzuzufügen und ihm mitzuteilen, welches Gateway für verschiedene IP-Bereiche verwendet werden soll. Dies kann sehr launisch sein, insbesondere in großen Unternehmensnetzwerken, da beide Netzwerke möglicherweise dieselben internen IP-Bereiche verwenden. Im Grunde befinden wir uns in einer Situation, in der wir eines der beiden Gateways als unser Standard-Gateway auswählen und dann Routen für einzelne Subnetze hinzufügen, die wir vom anderen Gateway benötigen.

Welchen Befehl führe ich aus, um dieses Problem zu beheben?

Sie haben Recht. Sie führen Befehle vom Typ „route -p add“ aus, um die Routen für das Gateway hinzuzufügen, das nicht Ihr Standard-Gateway ist. Es klingt, als hätte Ihr Kollege beschlossen, das Gateway des VPN als Standard-Gateway zu verwenden und dann manuell Routen für jede lokale Teilmenge hinzuzufügen, auf die Sie Zugriff benötigen. Sie können „nslookup“ verwenden, um die IP-Adressen der Server zu finden, die Sie in Ihrem lokalen LAN benötigen, und dann das gesamte Subnetz, in dem sich der Dienst befindet, zu Ihrer Routentabelle hinzufügen.

Ich würde beispielsweise ausführen nslookup sharepoint.localcompany.comund die IP-Adresse 192.168.12.51 zurückerhalten. Anschließend würde ich ausführen route -p add 192.168.12.0 mask 255.255.255.0 <LAN-gateway-ip>.

Hoffentlich müssen Sie nur ein oder zwei Subnetze hinzufügen, damit alles funktioniert. Hoffentlich sind diese Subnetze nicht üblich (z. B. 192.168.0.0/24, 192.168.0.1/24 oder 10.0.0.0/24). Siehe „andere Probleme“ weiter unten.

Für neue Informationen bearbeiten

Angesichts der IP-Adressen, die ich in Ihrer Routentabelle sehe, würde ich diesen Befehl ausführen und sehen, ob es besser funktioniert. Ich weiß nicht, ob Sie Schnittstelle 10 oder 14 für LAN verwenden, wählen Sie also die entsprechende Nummer basierend auf Ihrem Setup.

route -p add 192.168.0.0 mask 255.255.0.0 0.0.0.0 IF [10/14]

Dieser Befehl lautet: „Verwenden Sie das auf der LAN-Schnittstelle gelernte Gateway für IPs im Bereich 192.168.0.0 bis 192.168.255.255.“ Dadurch können bestimmte Dinge beschädigt werden. In diesem Fall können Sie es zurücksetzen, indem Sie es durch addersetzen delete.

Andere Probleme

Dieses gesamte Problem wird im DNS-Subsystem repliziert. Sie haben DNS-Server für zwei verschiedene Netzwerke und `internal-sharepoint..com` befindet sich nicht auf dem Remote-DNS-Server. Ich überlasse diese Aufgabe nur ungern dem Benutzer, aber es ist ein völlig anderes Problem, das es abzufangen gilt. TL;DR: Ich glaube, Sie verlassen sich auf „DNS-Suffixe“, um zu wissen, welcher DNS-Server verwendet werden soll. Bitte stellen Sie eine separate Frage, wenn Sie dabei Hilfe benötigen.

Dies ist nicht portierbar. Sie haben fest codiert, welche Subnetze mit welchen Gateways verwendet werden sollen. Wenn Sie von zu Hause aus arbeiten und das VPN Ihres Unternehmens verwenden, müssen alle hinzugefügten Routen aktualisiert werden, um das VPN-Gateway Ihres Unternehmens zu verwenden, anstatt das Gateway, das Sie möglicherweise von Ihrem Büro aus verwendet haben. Wenn Sie jemals in ein anderes Netzwerk wechseln, in dem diese Subnetze funktionieren müssen, müssen diese Routen entfernt werden. Dies ist hauptsächlich der Grund, warum meine Antwort so lang ist. Wenn Sie die Befehle einfach ausführen, werden Sie neue Probleme nicht erkennen, die erst später auftreten. Wenn diese Probleme auftreten, müssen Sie diese Änderungen, die Sie an Ihrer Routentabelle vorgenommen haben, rückgängig machen oder ändern.

IP-Konfliktprobleme. Wenn Sie eine gemeinsame Teilmenge hinzufügen müssten, würden Sie unweigerlich/bald in eine Situation geraten, in der dieses Teilnetz sowohl im lokalen als auch im Remote-Netzwerk funktionieren muss. Ich denke, es ist am einfachsten, die Unannehmlichkeiten einfach zu akzeptieren, alle manuell hinzugefügten Routen zu entfernen und VPN nach Bedarf zu aktivieren/deaktivieren, um auf lokale/Remote-Dienste zuzugreifen.

Bitte lassen Sie mich wissen, wenn diese Erklärung unklar ist oder ich einen Teil genauer erläutern kann.

Route für geschäftlichen VPN-Datenverkehr erstellen

Antwort1

Was hat Ihr Problem verursacht?

Wo liegt das technische Problem?

Wie lösen wir dieses Problem theoretisch?

Welchen Befehl führe ich aus, um dieses Problem zu beheben?

Für neue Informationen bearbeiten

Andere Probleme

verwandte Informationen