Tengo dos VPN: VPN1 se conecta automáticamente antes de iniciar sesión y actúa como una VPN de consumidor al enviar todo el tráfico a través de ella. Los usuarios no tienen control sobre esto: necesita conectarse antes de iniciar sesión, lo que significa que se ejecuta mediante el sistema y no en el perfil del usuario, lo cual es deseable de todos modos ya que quiero forzar que todo el tráfico se cifre a la puerta de enlace VPN1.
Quiero que los usuarios puedan conectarse manualmente a VPN2, que proporciona acceso a una red con recursos más confidenciales. VPN2 es la única forma de entrar o salir de esa red: el firewall bloquea todo lo demás. Cuando te conectas solo a VPN2, no tienes acceso a Internet.
El problema es que cuando el usuario está conectado a ambas VPN, su cliente puede actuar como un puente exponiendo la VPN2 a Internet a través de la VPN1. Pensé que tenía una forma sólida de evitar esto al impulsar la misma ruta estática que usa VPN1 para decirle a Windows que envíe todo el tráfico a través de VPN2, excepto establecer la métrica de ruta en 1 para que tenga prioridad. Eso impulsaría todo el tráfico a través de VPN2 y su firewall bloquearía cualquier cosa externa y, por lo tanto, no permitiría Internet.
Pero parece que Windows 10 intenta automáticamente la siguiente mejor ruta estática. Entonces, después de algunos intentos fallidos de llegar al destino a través de la puerta de enlace VPN2, utilizará VPN1 a pesar de la métrica más alta.
¿Existe alguna manera de evitar esta conmutación por error? ¿O alguna documentación al respecto para que tal vez pueda jugarlo? ¿Por ejemplo, intenta 3 puertas de enlace antes de darse por vencido, por lo que agrego 4 rutas estáticas de mayor prioridad que se encuentran con un firewall?