Existe uma maneira de saber qual processo alterou uma rota no Windows 7?

Existe uma maneira de saber qual processo alterou uma rota no Windows 7?

Tenho uma situação em que nossos clientes Windows 7 (o Windows 10 funciona bem) estão tendo problemas de conectividade intermitentes ao conectar-se por meio de nossa VPN Checkpoint Endpoint Connect. O problema se manifesta como uma adição de rota mais específica para um host específico em nossa rede interna que tenta rotear o tráfego fora da VPN quando não deveria.

O usuário A está em casa na rede privada 192.168.1.100. Este usuário se conecta à rede corporativa através do referido Checkpoint VPN, obtém o endereço de rede privada 10.1.7.100 para o referido túnel. Esta instanciação de conexão é um tipo híbrido onde o tráfego destinado ao espaço IP público flui através da rede 192.168.1.0/24 e é NAT para o espaço IP público, e o tráfego destinado aos nossos recursos privados flui através da VPN. Isso funciona para quase tudo que usamos, exceto um aplicativo .net. Esse aplicativo usa HTTP REST para se comunicar com um servidor interno em 10.1.4.50.

Temos uma rota na configuração do cliente VPN para 10.1.4.0/24 que envia todo o tráfego 10.1.4 para fora do endereço do gateway VPN no outro lado do nosso túnel na métrica 1.

Quando o problema ocorre vemos uma alteração na tabela de roteamento que insere uma rota mais específica apenas para o IP dos servidores de destino (neste caso 10.1.4.50), com métrica 11 e Gateway 192.168.1.1 (este é o gw padrão para a interface base sobre a qual o túnel fica). Quando esta rota fica ativa, tudo falha nesse servidor de destino apenas porque ele é roteado para fora do túnel. Outro tráfego destinado a outros hosts em qualquer uma de nossas redes internas ainda funciona bem, incluindo outros hosts em 10.1.4.0/24.

Consultamos a Checkpoint e eles dizem que seu cliente não insere rotas falsas na pilha de IP assim, uma vez que o túnel está configurado, então deve ser outra coisa. Mas descobrir o que está inserindo essa rota e por que está sendo muito difícil.

Tenho usado alguns utilitários da NirSoft para visualizar alterações de rota em tempo real e também explorei alguns utilitários C++ que usam NotifyRouteChange para exibir atividades de alteração de rota, mas nenhum deles me dá o nível de detalhe que realmente preciso, que é encontrar qual processo realmente fez a inserção da rota.

Alguém pode me dizer como encontrar o nome ou ID do processo que está fazendo modificações na rota? Ou recomendar uma alternativa para determinar qual processo está realmente causando problemas em minhas tabelas de rotas? SE for realmente um software VPN Checkpoints, posso forçar o problema com eles. Mas sem outras evidências, estou um tanto preso.

Obrigado por qualquer ajuda!

informação relacionada