好的,情況是這樣的。我諮詢了幾個項目,有些項目要求我先連接到他們的 VPN,然後才能訪問他們的伺服器。問題是,當我連接到該特定客戶端的 VPN 時,它會切斷與我的許多工作資源(Sharepoint、Outlook、Skype,以及最重要的 Pandora)的連接
幾年前,我遇到了類似的問題,我的好友添加了一條路由,以便只有到他們網站/伺服器的流量才會通過 VPN。問題是我不知道他是怎麼做到的。我在 MS 網站上查找了一些內容並嘗試添加路由,但似乎不起作用。
這就是我所擁有的。
C:\Users\Dizzy>route print
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
32...........................Blackhawk
1...........................Software Loopback Interface 1
===========================================================================
我使用“route -p”嘗試添加持久路由,這是我認為我需要的。連線後,我連接的伺服器 IP 是 172.17.15.243。所以現在我有這個:
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
這似乎不起作用,因為我仍然無法訪問 Skype 或 Pandora。
現在我不知道是我設定錯誤還是什麼。我注意到的一件事是,昨晚介面是#29,現在是#32
哦,我有 Windows 10 Pro,並且從 MS Store 安裝了 Cisco Connect,因此它使用 Windows 來管理 VPN。
未連線到我的 VPN:
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.86.1 192.168.86.37 35
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.86.0 255.255.255.0 On-link 192.168.86.37 291
192.168.86.37 255.255.255.255 On-link 192.168.86.37 291
192.168.86.255 255.255.255.255 On-link 192.168.86.37 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.86.37 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.86.37 291
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
14 291 fe80::/64 On-link
14 291 fe80::c86d:557e:caf3:da69/128
On-link
1 331 ff00::/8 On-link
14 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
連接到 VPN 我有:
===========================================================================
Interface List
10...fc aa 14 2e 52 b5 ......Intel(R) Ethernet Connection (2) I218-V
16...00 ff d9 d6 21 c7 ......TAP-NordVPN Windows Adapter V9
14...00 00 00 05 5c 8e ......ASIX AX88772B USB2.0 to Fast Ethernet Adapter
32...........................Blackhawk
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.86.1 192.168.86.37 4260
0.0.0.0 0.0.0.0 On-link 172.17.101.209 56
65.70.114.5 255.255.255.255 192.168.86.1 192.168.86.37 4516
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4556
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4556
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
172.17.15.0 255.255.255.0 On-link 172.17.101.209 56
172.17.15.255 255.255.255.255 On-link 172.17.101.209 311
172.17.101.209 255.255.255.255 On-link 172.17.101.209 311
192.168.86.0 255.255.255.0 On-link 192.168.86.37 4516
192.168.86.37 255.255.255.255 On-link 192.168.86.37 4516
192.168.86.255 255.255.255.255 On-link 192.168.86.37 4516
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4556
224.0.0.0 240.0.0.0 On-link 192.168.86.37 4516
224.0.0.0 240.0.0.0 On-link 172.17.101.209 56
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
255.255.255.255 255.255.255.255 On-link 192.168.86.37 4516
255.255.255.255 255.255.255.255 On-link 172.17.101.209 311
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.17.15.243 255.255.255.0 On-link 1
172.17.15.0 255.255.255.0 On-link 1
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
14 291 fe80::/64 On-link
14 291 fe80::c86d:557e:caf3:da69/128
On-link
1 331 ff00::/8 On-link
14 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
這是在我的桌面上,因此它不需要是便攜式解決方案,而且我只需在連接到 VPN 時存取 1 個資源。當我 ping 它時,IP 位址是 172.17.15.243 當我執行 NSLookUp 時,我得到 192.168.86.1 新增路由時如何找到要使用的 LAN 閘道?我使用了 0.0.0.0 但我不確定這是否正確。
我相當有技術頭腦,但這種程度的網路總是給我帶來麻煩。
答案1
是什麼造成了你的問題
這裡發生的情況是連接到 VPN 會將一條非常廣泛的路由推送到作業系統的路由表中。您可以在連接 VPN 之前和之後執行“路由列印”,以查看由於連接 VPN 的副作用而添加了哪些路由。您會看到以下路由組合已新增至路由表:
===========================================================================
Network Address Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 On-link 172.17.101.209 56
65.70.114.5 255.255.255.255 192.168.86.1 192.168.86.37 4516
172.17.15.0 255.255.255.0 On-link 172.17.101.209 56
===========================================================================
還添加了其他路線。我們不太關心這些。
新增的第一條路由表示發送到「任何地方」的流量應使用 VPN 隧道。因此,這是預設路由。除非有更具體的目的地,任何離開您電腦的流量都將使用 VPN 閘道。請注意,表中仍然列出了舊的預設路由,表示“在任何地方使用 LAN 網關”,但其度量更高(更差)。這條路線不再是首選。
新增的第二條路由打了一個洞,表示發送到 VPN 伺服器公用 IP 的流量應使用舊網關。請注意,即使度量更高,路線也更具體。網路遮罩的255.255.255.255意思是「僅適用於此 IP 位址」。特異性優先於度量。
新增的第三條路由是應使用 VPN 閘道的特定 IP 範圍。由於 VPN 網關已經是預設路由,因此這是冗餘資訊。我真的不知道為什麼要添加此內容,但我可以猜測 VPN 服務的 IT 管理員可能是由於某些用戶遇到的某些特定問題而手動添加了此內容。
新增的其他路由包括新的預設多播 (224.0.0.0) 和廣播 (。.*.255) 路線。每個網路上也為您的機器自己的 IP 位址新增了路由。不知道為什麼需要這些;這可能是 Windows 的事。
從技術上來說,問題出在哪裡?
這些路由告訴您的電腦透過 VPN 隧道發送除 VPN 隧道本身和直接本地 LAN 的流量之外的所有流量。這樣做是因為 VPN 閘道可以(並且通常需要)將您的流量路由到遠端 Intranet 中的更多子網路(與 Internet 不同)。例如,當連接 VPN 時,您的電腦將獲得一個 IP 位址 172.17.101.209/24。遠端網路上的郵件伺服器可能位於172.17.15.4/24、Sharepoint 位於172.17.7.16/24、Skype 位於172.17.55.27/24 等。網關上可以將流量路由到這些機器。企業 IT 部門不必將每個 IP 或子網路單獨推送到路由表(例如,到 172.17.15.0 的路由),而是更容易設定/覆蓋所有流量的預設路由以使用 VPN,並讓 VPN 閘道弄清楚如何將您連接到您想要到達的所有子網路。當 VPN 用戶端在其本地網路中也有他們試圖存取的資源時,向 VPN 用戶端推送新的預設路由就成為一個問題。同樣的範例適用:郵件伺服器、內部網站、Skype 等。
從理論上講,我們如何解決這個問題?
我們需要知道哪些網路位於哪個網關上。如果我們嘗試使用無法從該網關路由的網路的網關,我們將收到「DESTINATION NOT REACHABLE」回應。如果我們使用遠端網關存取本機 SharePoint 伺服器,我們就會收到該回應。這使我們陷入了一個棘手的境地,需要手動將路由新增到作業系統的路由表中,告訴它針對不同的 IP 範圍使用哪個網關。這可能會非常不穩定,尤其是在大型企業網路中,因為兩個網路可能使用相同的內部 IP 範圍。基本上,我們所處的情況是,我們選擇兩個網關之一作為預設網關,然後從另一個網關添加我們需要的各個子網路的路由。我應該運行什麼命令來解決這個問題?
你是對的。您執行「route -p add」類型指令來新增非預設閘道的路由。聽起來您的同事決定使用 VPN 的網關作為預設網關,然後為您需要存取的每個本機子集手動新增路由。您可以使用「nslookup」從本機 LAN 中尋找所需伺服器的 IP 位址,然後將服務所在的整個子網路新增至路由表中。例如,我將運行nslookup sharepoint.localcompany.com並返回 IP 192.168.12.51。然後我就會跑route -p add 192.168.12.0 mask 255.255.255.0 <LAN-gateway-ip>。
希望您只需要添加一兩個子網路即可使一切正常運作。希望這些子網路不常見(例如 192.168.0.0/24、192.168.0.1/24 或 10.0.0.0/24)。請參閱下面的“其他問題”。
編輯新資訊
鑑於我在路由表中看到的 IP 位址,我將執行此命令並查看是否效果更好。我不知道您用於 LAN 的介面是 10 還是 14,因此請根據您的設定選擇相應的編號。route -p add 192.168.0.0 mask 255.255.0.0 0.0.0.0 IF [10/14]
此指令表示「對於 192.168.0.0 到 192.168.255.255 範圍內的 IP,使用在 LAN 介面上獲知的閘道」。它可能會破壞某些東西,在這種情況下,您可以透過交換add為 來回滾它delete。
其他問題
整個問題在 DNS 子系統中重複出現。您有兩個不同網路的 DNS 伺服器,且「internal-sharepoint..com」不在遠端 DNS 伺服器中。我不想把這個練習留給用戶,但它是一個完全獨立的問題。 TL;DR:我相信您依靠「DNS 後綴」來知道要使用哪個 DNS 伺服器。如果您需要這方面的協助,請發布一個單獨的問題。這不是便攜式的。您對哪些子網路與哪些網關一起使用進行了硬編碼。如果您在家工作並使用自己公司的 VPN,則您新增的所有路由都需要更新為使用您公司的 VPN 網關,而不是您可能在辦公室使用的網關。如果您漫遊到需要這些子網工作的另一個網絡,則需要刪除這些路由。首先,這就是為什麼我的回覆這麼長。如果您只是執行命令,您將不會發現稍後才會出現的新問題。當這些問題發生時,您必須撤銷或修改路由表所做的這些變更。
IP 衝突問題。如果您必須新增一個公共子集,您將不可避免/很快就會遇到需要該子網路在本地和遠端網路中工作的情況。我認為最簡單的方法是接受不便,刪除所有手動新增的路由,並根據存取本地/遠端服務的需要啟用/停用 VPN。
如果這個解釋不清楚或我是否可以更詳細地解釋某個部分,請告訴我。