Ok, então aqui está a situação. Eu presto consultoria em vários projetos, e alguns exigem que eu me conecte à VPN antes de poder acessar seus servidores. O problema é que quando me conecto à VPN para este cliente específico, ele corta a conexão com muitos dos meus recursos de trabalho (Sharepoint, Outlook, Skype e, mais importante, Pandora)
ANOS atrás, tive um problema semelhante e meu amigo adicionou uma rota para que apenas o tráfego para seu site/servidor passasse pela VPN. O problema é que não tenho ideia de como ele fez isso. Pesquisei algumas coisas nos sites da MS e tentei adicionar rotas, mas não parece estar funcionando.
Aqui está o que eu tenho.
C:\Users\Dizzy>route print
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
32...........................Blackhawk
1...........................Software Loopback Interface 1
===========================================================================
Usei "route -p" para tentar adicionar uma rota persistente, que foi o que achei que precisava. Quando conectado, o IP do servidor ao qual me conecto é 172.17.15.243. Então agora eu tenho isso:
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
Isso parece não funcionar porque ainda não consigo acessar o Skype ou o Pandora.
Neste ponto, não sei se configurei algo incorretamente ou o quê. Uma coisa que notei é que ontem à noite a interface era a número 29 e agora é a número 32
Ah, eu tenho o Windows 10 Pro e o Cisco Connect instalado da MS Store, então ele usa o Windows para gerenciar a VPN.
NÃO conectado à VPN, tenho:
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.86.1 192.168.86.37 35
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.86.0 255.255.255.0 On-link 192.168.86.37 291
192.168.86.37 255.255.255.255 On-link 192.168.86.37 291
192.168.86.255 255.255.255.255 On-link 192.168.86.37 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.86.37 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.86.37 291
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
14 291 fe80::/64 On-link
14 291 fe80::c86d:557e:caf3:da69/128
On-link
1 331 ff00::/8 On-link
14 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
CONECTADO à VPN eu tenho:
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
32...........................Blackhawk
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.86.1 192.168.86.37 4260
0.0.0.0 0.0.0.0 On-link 172.17.101.209 56
65.70.114.5 255.255.255.255 192.168.86.1 192.168.86.37 4516
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4556
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4556
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
172.17.15.0 255.255.255.0 On-link 172.17.101.209 56
172.17.15.255 255.255.255.255 On-link 172.17.101.209 311
172.17.101.209 255.255.255.255 On-link 172.17.101.209 311
192.168.86.0 255.255.255.0 On-link 192.168.86.37 4516
192.168.86.37 255.255.255.255 On-link 192.168.86.37 4516
192.168.86.255 255.255.255.255 On-link 192.168.86.37 4516
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4556
224.0.0.0 240.0.0.0 On-link 192.168.86.37 4516
224.0.0.0 240.0.0.0 On-link 172.17.101.209 56
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
255.255.255.255 255.255.255.255 On-link 192.168.86.37 4516
255.255.255.255 255.255.255.255 On-link 172.17.101.209 311
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
14 291 fe80::/64 On-link
14 291 fe80::c86d:557e:caf3:da69/128
On-link
1 331 ff00::/8 On-link
14 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Isso está na minha área de trabalho, portanto não precisa ser uma solução portátil e só preciso acessar 1 recurso enquanto estiver conectado à VPN. Quando faço ping, o endereço IP é 172.17.15.243. Quando faço um NSLookUp, recebo 192.168.86.1. Como encontro o LAN Gateway para usar quando adiciono a rota? Usei 0.0.0.0, mas não tenho certeza se está correto.
Tenho uma mentalidade bastante tecnológica, mas esse nível de rede sempre me causou problemas.
Responder1
O que criou seu problema
O que está acontecendo aqui é que a conexão com a VPN colocará uma rota muito ampla na tabela de rotas do seu sistema operacional. Você pode executar `route print` antes e depois de conectar a VPN para ver quais rotas estão sendo adicionadas como efeito colateral da conexão da VPN.Você verá que a seguinte combinação de rotas foi adicionada à sua tabela de rotas:
===========================================================================
Network Address Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 On-link 172.17.101.209 56
65.70.114.5 255.255.255.255 192.168.86.1 192.168.86.37 4516
172.17.15.0 255.255.255.0 On-link 172.17.101.209 56
===========================================================================
Outras rotas também são adicionadas. Não nos importamos tanto com isso.
A primeira rota adicionada diz que o tráfego destinado a “qualquer lugar” deve usar o túnel VPN. Portanto, esta é uma rota padrão. Exceto algum destino mais específico, qualquer tráfego que saia da sua máquina usará o gateway VPN. Observe que ainda existe a antiga rota padrão listada na tabela que indica "usar o gateway LAN para qualquer lugar", mas sua métrica é maior (pior). Essa rota não é mais preferida.
A segunda rota adicionada abre uma lacuna que diz que o tráfego destinado ao IP público do servidor VPN deve usar o gateway antigo. Observe que mesmo que a métrica seja mais alta, a rota é mais específica. A máscara de rede 255.255.255.255significa "somente para este endereço IP". A especificidade tem precedência sobre a métrica.
A terceira rota adicionada é um intervalo de IP específico que deve usar o gateway VPN. Dado que o gateway VPN já é a rota padrão, esta é uma informação redundante. Eu realmente não sei por que isso foi adicionado, mas posso adivinhar que o administrador de TI do serviço VPN provavelmente adicionou isso manualmente devido a algum problema específico encontrado por alguns usuários.
Outras rotas que foram adicionadas incluem o novo multicast padrão (224.0.0.0) e broadcast (..*.255) rotas. Também foram adicionadas rotas para o endereço IP da sua máquina em cada rede. Não sei por que isso é necessário; pode ser uma coisa do Windows.
Tecnicamente, qual é o problema?
Essas rotas dizem ao seu computador para enviar através do túnel VPN TODO o tráfego, exceto o próprio túnel VPN e o tráfego para a LAN local imediata. Isso é feito porque o gateway VPN pode (e muitas vezes precisa) rotear seu tráfego para mais sub-redes na intranet remota (diferentemente da Internet). Por exemplo, ao conectar a VPN, seu computador recebe um endereço IP 172.17.101.209/24. Os servidores de e-mail na rede remota podem estar localizados em 172.17.15.4/24, Sharepoint em 172.17.7.16/24, Skype em 172.17.55.27/24, etc. Todos eles estão em sub-redes separadas do seu IP VPN e apenas do gateway VPN pode direcionar o tráfego para essas máquinas. Em vez de enviar cada IP ou sub-rede individualmente para sua tabela de rotas (por exemplo, sua rota para 172.17.15.0), é mais fácil para a TI corporativa definir/substituir a rota padrão de todo o tráfego para usar VPN e deixar o gateway VPN descobrir como conectá-lo a todas as sub-redes que você deseja alcançar.Enviar uma nova rota padrão para clientes VPN torna-se um problema quando esses clientes também têm recursos em sua rede local que estão tentando acessar. Os mesmos exemplos se aplicam: servidores de e-mail, sites internos, Skype, etc. Você precisa do seu gateway local para acessá-los.
Teoricamente, como resolvemos esse problema?
Precisamos saber quais redes estão em qual gateway. Se tentarmos usar um gateway para uma rede que não é roteável a partir desse gateway, obteremos uma resposta `DESTINATION NOT REACHABLE`. Se usarmos o gateway remoto para acessar nosso servidor SharePoint local, obteremos essa resposta. Isso nos coloca em uma posição complicada de adicionar rotas manualmente à tabela de rotas do nosso sistema operacional, informando qual gateway usar para diferentes intervalos de IP. Isto pode ser seriamente temperamental, especialmente em grandes redes corporativas, porque ambas as redes podem utilizar os mesmos intervalos de IP internos. Basicamente, estamos em uma situação em que escolhemos um dos dois gateways para ser nosso gateway padrão e, em seguida, adicionamos rotas para sub-redes individuais necessárias do outro gateway.Que comando executo para resolver esse problema?
Você está certo. Você executa comandos do tipo `route -p add` para adicionar as rotas para qualquer gateway que não seja seu gateway padrão. Parece que seu colega decidiu usar o gateway da VPN como gateway padrão e, em seguida, adicionar rotas manualmente para cada subconjunto local ao qual você precisa acessar. Você pode usar `nslookup` para encontrar os endereços IP dos servidores necessários em sua LAN local e, em seguida, adicionar toda a sub-rede em que o serviço reside à sua tabela de rotas.Por exemplo, eu executaria nslookup sharepoint.localcompany.come receberia um IP 192.168.12.51. Eu então correria route -p add 192.168.12.0 mask 255.255.255.0 <LAN-gateway-ip>.
Esperamos que você só precise adicionar uma ou duas sub-redes para que tudo funcione. Esperamos que essas sub-redes não sejam comuns (por exemplo, 192.168.0.0/24, 192.168.0.1/24 ou 10.0.0.0/24). Consulte "outros problemas" abaixo.
Editar para novas informações
Dados os endereços IP que estou vendo na sua tabela de rotas, eu executaria este comando e veria se as coisas funcionavam melhor. Não sei se a interface 10 ou 14 é a que você usa para LAN, então escolha o número correspondente com base na sua configuração.route -p add 192.168.0.0 mask 255.255.0.0 0.0.0.0 IF [10/14]
Este comando diz "Use o gateway aprendido na interface LAN para IPs no intervalo 192.168.0.0 a 192.168.255.255". Isso pode quebrar certas coisas; nesse caso, você pode revertê-lo trocando addpor delete.
Outros problemas
Todo esse problema é replicado no subsistema DNS. Você tem servidores DNS para duas redes diferentes e `internal-sharepoint..com` não está no servidor DNS remoto. Detesto deixar este exercício para o usuário, mas é uma questão totalmente separada de ser capturada. DR: Acredito que você confia em 'sufixos DNS' para saber qual servidor DNS usar. Poste uma pergunta separada se precisar de ajuda com isso.Isso não é portátil. Você codificou quais sub-redes usar com quais gateways. Se você trabalha em casa e usa a VPN da sua própria empresa, todas as rotas adicionadas precisam ser atualizadas para usar o gateway VPN da sua empresa, em vez de qualquer gateway que você possa ter usado no seu escritório. Se você alguma vez fizer roaming para outra rede onde precisa que essas sub-redes funcionem, essas rotas precisarão ser removidas. Primeiramente, é por isso que minha resposta é tão longa. Se você apenas executar os comandos, não reconhecerá novos problemas que surgirão apenas mais tarde. Quando esses problemas acontecem, você deve voltar atrás ou modificar as alterações feitas em sua tabela de rotas.
Problemas de conflito de IP. Se você tivesse que adicionar um subconjunto comum, inevitavelmente/em breve se depararia com uma situação em que precisaria que essa sub-rede funcionasse tanto na rede local quanto na remota. Acho que é mais fácil simplesmente aceitar o inconveniente, remover todas as rotas adicionadas manualmente e ativar/desativar a VPN conforme necessário para acessar serviços locais/remotos.
Por favor, deixe-me saber se esta explicação não está clara ou se posso explicar uma parte com mais detalhes.