У меня есть два VPN: VPN1 автоматически подключается к предварительному входу и действует как потребительский VPN, пропуская через себя весь трафик. Пользователи не могут это контролировать — он должен подключаться к предварительному входу, что означает, что он запускается системой, а не в профиле пользователя, что в любом случае желательно, так как я хочу принудительно шифровать весь трафик на шлюзе VPN1.
Я хочу, чтобы пользователи могли вручную подключаться к VPN2, которая обеспечивает доступ к сети с более конфиденциальными ресурсами. VPN2 — единственный способ войти или выйти из этой сети — брандмауэр блокирует все остальное. Когда вы подключаетесь только к VPN2, у вас нет доступа в Интернет.
Проблема в том, что когда пользователь подключен к обоим VPN, его клиент может выступать в качестве моста, открывающего VPN2 доступ в Интернет через VPN1. Я думал, что у меня есть надежный способ предотвратить это, проталкивая тот же статический маршрут, который VPN1 использует, чтобы сообщить Windows, что весь трафик должен проходить через VPN2, но установив метрику маршрута на 1, чтобы он имел приоритет. Это пропустило бы весь трафик через VPN2, а его брандмауэр заблокировал бы все, что идет наружу, и, таким образом, не было бы Интернета.
Но, похоже, Windows 10 автоматически пробует следующий лучший статический маршрут. Поэтому после нескольких неудачных попыток достичь пункта назначения через шлюз VPN2 он будет использовать VPN1, несмотря на более высокую метрику.
Есть ли способ предотвратить этот отказ? Или какая-нибудь документация по нему, чтобы я мог его обыграть? Например, он пытается использовать 3 шлюза, прежде чем сдастся, поэтому я добавляю 4 статических маршрута с более высоким приоритетом, которые ведут к брандмауэру?