Bien, esta es la situación. Realizo consultas sobre varios proyectos y algunos requieren que me conecte a su VPN antes de poder acceder a sus servidores. El problema es que cuando me conecto a la VPN para este cliente en particular, se corta la conexión a muchos de mis recursos de trabajo (Sharepoint, Outlook, Skype y, lo más importante, Pandora).
Hace AÑOS, tuve un problema similar y mi amigo agregó una ruta para que solo el tráfico a su sitio/servidor pasara por la VPN. El problema es que no tengo idea de cómo lo hizo. Busqué algunas cosas en los sitios de MS e intenté agregar rutas, pero no parece funcionar.
Esto es lo que tengo.
C:\Users\Dizzy>route print
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
32...........................Blackhawk
1...........................Software Loopback Interface 1
===========================================================================
Utilicé "ruta -p" para intentar agregar una ruta persistente, que es lo que pensé que necesitaba. Cuando estoy conectado, la IP del servidor al que me conecto es 172.17.15.243. Entonces ahora tengo esto:
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
Eso no parece funcionar porque todavía no puedo acceder a Skype ni a Pandora.
En este punto no sé si configuré algo incorrectamente o qué. Una cosa que sí noté es que anoche la interfaz era la número 29 y ahora es la número 32.
Oh, tengo Windows 10 Pro y tengo Cisco Connect instalado desde MS Store, por lo que usa Windows para administrar la VPN.
NO conectado a la VPN tengo:
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.86.1 192.168.86.37 35
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.86.0 255.255.255.0 On-link 192.168.86.37 291
192.168.86.37 255.255.255.255 On-link 192.168.86.37 291
192.168.86.255 255.255.255.255 On-link 192.168.86.37 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.86.37 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.86.37 291
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
14 291 fe80::/64 On-link
14 291 fe80::c86d:557e:caf3:da69/128
On-link
1 331 ff00::/8 On-link
14 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
CONECTADO a la VPN tengo:
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
32...........................Blackhawk
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.86.1 192.168.86.37 4260
0.0.0.0 0.0.0.0 On-link 172.17.101.209 56
65.70.114.5 255.255.255.255 192.168.86.1 192.168.86.37 4516
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4556
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4556
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
172.17.15.0 255.255.255.0 On-link 172.17.101.209 56
172.17.15.255 255.255.255.255 On-link 172.17.101.209 311
172.17.101.209 255.255.255.255 On-link 172.17.101.209 311
192.168.86.0 255.255.255.0 On-link 192.168.86.37 4516
192.168.86.37 255.255.255.255 On-link 192.168.86.37 4516
192.168.86.255 255.255.255.255 On-link 192.168.86.37 4516
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4556
224.0.0.0 240.0.0.0 On-link 192.168.86.37 4516
224.0.0.0 240.0.0.0 On-link 172.17.101.209 56
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
255.255.255.255 255.255.255.255 On-link 192.168.86.37 4516
255.255.255.255 255.255.255.255 On-link 172.17.101.209 311
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
14 291 fe80::/64 On-link
14 291 fe80::c86d:557e:caf3:da69/128
On-link
1 331 ff00::/8 On-link
14 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Esto está en mi escritorio, por lo que no es necesario que sea una solución portátil y solo necesito acceder a 1 recurso mientras estoy conectado a la VPN. Cuando hago ping, la dirección IP es 172.17.15.243. Cuando hago NSLookUp obtengo 192.168.86.1 ¿Cómo encuentro la puerta de enlace LAN que debo usar cuando agrego la ruta? Usé 0.0.0.0 pero no estoy seguro de que sea correcto.
Tengo una mentalidad bastante tecnológica, pero este nivel de networking siempre me ha dado problemas.
Respuesta1
¿Qué creó tu problema?
Lo que está sucediendo aquí es que conectarse a la VPN generará una ruta muy amplia en la tabla de rutas de su sistema operativo. Puede ejecutar "impresión de ruta" antes y después de conectar la VPN para ver qué rutas se agregan como efecto secundario de la conexión de la VPN.Verá que la siguiente combinación de rutas se agrega a su tabla de rutas:
===========================================================================
Network Address Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 On-link 172.17.101.209 56
65.70.114.5 255.255.255.255 192.168.86.1 192.168.86.37 4516
172.17.15.0 255.255.255.0 On-link 172.17.101.209 56
===========================================================================
También se añaden otras rutas. No nos importan tanto.
La primera ruta agregada dice que el tráfico destinado a "cualquier lugar" debe utilizar el túnel VPN. Ergo, esta es una ruta predeterminada. Salvo algún destino más específico, cualquier tráfico que salga de su máquina utilizará la puerta de enlace VPN. Tenga en cuenta que todavía aparece la antigua ruta predeterminada que figura en la tabla que indica "usar la puerta de enlace LAN para cualquier lugar", pero su métrica es más alta (peor). Esa vía ya no es la preferida.
La segunda ruta agregada hace un agujero que dice que el tráfico destinado a la IP pública del servidor VPN debe usar la puerta de enlace anterior. Tenga en cuenta que aunque la métrica es mayor, la ruta es más específica. La máscara de red 255.255.255.255significa "sólo para esta dirección IP". La especificidad tiene prioridad sobre la métrica.
La tercera ruta que se agregó es un rango de IP específico que debería usar la puerta de enlace VPN. Dado que la puerta de enlace VPN ya es la ruta predeterminada, esta es información redundante. Realmente no sé por qué se agregó esto, pero puedo suponer que el administrador de TI del servicio VPN probablemente lo agregó manualmente debido a algún problema específico encontrado por algunos usuarios.
Otras rutas que se agregaron incluyen la nueva multidifusión predeterminada (224.0.0.0) y transmisión (..*.255) rutas. También se agregan rutas para la propia dirección IP de su máquina en cada red. No estoy seguro de por qué son necesarios; Podría ser cosa de Windows.
Técnicamente, ¿cuál es el problema?
Estas rutas le indican a su computadora que envíe a través del túnel VPN TODO el tráfico excepto el túnel VPN en sí y el tráfico de la LAN local inmediata. Esto se hace porque la puerta de enlace VPN puede (y a menudo necesita) enrutar su tráfico a más subredes en la intranet remota (a diferencia de Internet). Por ejemplo, al conectar una VPN, su computadora recibirá una dirección IP de 172.17.101.209/24. Los servidores de correo en la red remota pueden estar ubicados en 172.17.15.4/24, Sharepoint en 172.17.7.16/24, Skype en 172.17.55.27/24, etc. Todos estos están en subredes separadas de su IP VPN y solo en la puerta de enlace VPN. puede dirigir el tráfico a estas máquinas. En lugar de enviar cada IP o subred individualmente a su tabla de rutas (por ejemplo, su ruta a 172.17.15.0), es más fácil para TI corporativo establecer/anular la ruta predeterminada de todo el tráfico para usar VPN y dejar que la puerta de enlace VPN descubra cómo conectarte a todas las subredes a las que quieras llegar.Enviar una nueva ruta predeterminada a los clientes VPN se convierte en un problema cuando esos clientes también tienen recursos en su red local a los que intentan acceder. Se aplican los mismos ejemplos: servidores de correo, sitios web internos, Skype, etc. Necesita su puerta de enlace local para acceder a ellos.
Teóricamente, ¿cómo solucionamos este problema?
Necesitamos saber qué redes están en qué puerta de enlace. Si intentamos utilizar una puerta de enlace para una red que no se puede enrutar desde esa puerta de enlace, obtendremos una respuesta "DESTINO NO ALCANZABLE". Si utilizamos la puerta de enlace remota para llegar a nuestro servidor SharePoint local, obtenemos esa respuesta. Esto nos coloca en una posición complicada al tener que agregar rutas manualmente a la tabla de rutas de nuestro sistema operativo y decirle qué puerta de enlace usar para diferentes rangos de IP. Esto puede resultar muy temperamental, especialmente en grandes redes corporativas, porque ambas redes pueden utilizar los mismos rangos de IP internos. Básicamente, estamos en una situación en la que elegimos una de las dos puertas de enlace como nuestra puerta de enlace predeterminada y luego agregamos rutas para las subredes individuales que necesitamos desde la otra puerta de enlace.¿Qué comando ejecuto para que este problema desaparezca?
Tienes razón. Ejecute comandos de tipo `route -p add` para agregar las rutas para cualquier puerta de enlace que no sea su puerta de enlace predeterminada. Parece que su colega decidió usar la puerta de enlace de la VPN como puerta de enlace predeterminada y luego agregar rutas manualmente para cada subconjunto local al que necesita acceso. Puede usar `nslookup` para encontrar las direcciones IP de los servidores que necesita de su LAN local y luego agregar la subred completa en la que reside el servicio a su tabla de rutas.Por ejemplo, ejecutaría nslookup sharepoint.localcompany.comy obtendría una IP de 192.168.12.51. Entonces correría route -p add 192.168.12.0 mask 255.255.255.0 <LAN-gateway-ip>.
Con suerte, solo necesitarás agregar una o dos subredes para que todo funcione. Es de esperar que esas subredes no sean comunes (por ejemplo, 192.168.0.0/24, 192.168.0.1/24 o 10.0.0.0/24). Consulte "otros problemas" a continuación.
Editar para nueva información
Dadas las direcciones IP que veo en su tabla de rutas, ejecutaría este comando y vería si todo funciona mejor. No sé si la interfaz 10 o 14 es la que usa para LAN, así que elija el número correspondiente según su configuración.route -p add 192.168.0.0 mask 255.255.0.0 0.0.0.0 IF [10/14]
Este comando dice "Utilice la puerta de enlace aprendida en la interfaz LAN para IP en el rango 192.168.0.0 a 192.168.255.255". Podría romper ciertas cosas, en cuyo caso puedes revertirlo cambiándolo addpor delete.
Otros problemas
Todo este problema se replica en el subsistema DNS. Tiene servidores DNS para dos redes diferentes y `internal-sharepoint..com` no está en el servidor DNS remoto. Odio dejar este ejercicio en manos del usuario, pero es un tema completamente diferente de atrapar. TL;DR: Creo que usted confía en los 'sufijos DNS' para saber qué servidor DNS usar. Publique una pregunta por separado si necesita ayuda con esto.Esto no es portátil. Usted codificó qué subredes usar con qué puertas de enlace. Si trabaja desde casa y usa la VPN de su propia empresa, todas las rutas que agregó deben actualizarse para usar la puerta de enlace VPN de su empresa en lugar de cualquier puerta de enlace que haya usado desde su oficina. Si alguna vez se desplaza a otra red donde necesita que funcionen estas subredes, es necesario eliminar estas rutas. Principalmente por eso mi respuesta es tan larga. Si simplemente ejecuta los comandos, no reconocerá nuevos problemas que surgirán más adelante. Cuando ocurren esos problemas, debe retroceder o modificar estos cambios que realizó en su tabla de rutas.
Cuestiones de conflicto de propiedad intelectual. Si tuviera que agregar un subconjunto común, inevitablemente/pronto se encontrará con una situación en la que necesitará que esa subred funcione tanto en la red local como en la remota. Creo que es más fácil simplemente aceptar el inconveniente, eliminar todas las rutas agregadas manualmente y habilitar/deshabilitar VPN según sea necesario para acceder a servicios locales/remotos.
Avíseme si esta explicación no está clara o si puedo explicar una parte con más detalle.