Ich habe zwei VPNs: VPN1 stellt automatisch vor der Anmeldung eine Verbindung her und verhält sich wie ein Verbraucher-VPN, indem der gesamte Datenverkehr durch das VPN1-Gateway geleitet wird. Benutzer haben hierüber keine Kontrolle – die Verbindung muss vor der Anmeldung hergestellt werden, was bedeutet, dass es über das System und nicht über das Benutzerprofil ausgeführt wird, was ohnehin wünschenswert ist, da ich die Verschlüsselung des gesamten Datenverkehrs zum VPN1-Gateway erzwingen möchte.
Ich möchte, dass Benutzer sich manuell mit VPN2 verbinden können, das Zugriff auf ein Netzwerk mit sensibleren Ressourcen bietet. VPN2 ist der einzige Weg in dieses Netzwerk hinein oder aus ihm heraus – die Firewall blockiert alles andere. Wenn Sie sich nur mit VPN2 verbinden, haben Sie keinen Internetzugang.
Das Problem besteht darin, dass der Client des Benutzers, wenn er mit beiden VPNs verbunden ist, als Brücke fungieren kann, die VPN2 über VPN1 dem Internet aussetzt. Ich dachte, ich hätte eine solide Möglichkeit, dies zu verhindern, indem ich dieselbe statische Route verwende, die VPN1 verwendet, um Windows anzuweisen, den gesamten Datenverkehr über VPN2 zu leiten, außer dass ich die Routenmetrik auf 1 setze, damit sie Priorität hat. Dadurch würde der gesamte Datenverkehr über VPN2 geleitet, und die Firewall würde alles blockieren, was nach außen geht, und somit kein Internet.
Es scheint jedoch, dass Windows 10 automatisch die nächstbeste statische Route versucht. Nach einigen fehlgeschlagenen Versuchen, das Ziel über das VPN2-Gateway zu erreichen, wird VPN1 trotz der höheren Metrik verwendet.
Gibt es eine Möglichkeit, dieses Failover zu verhindern? Oder gibt es eine Dokumentation dazu, sodass ich es vielleicht austricksen kann? Beispielsweise indem es 3 Gateways probiert, bevor es aufgibt, sodass ich 4 statische Routen mit höherer Priorität hinzufüge, die in eine Firewall laufen?