我有兩個 VPN:VPN1 會在登入前自動連接,並透過推送所有流量來充當消費者 VPN。用戶對此無法控制 - 它需要連接預登錄,這意味著它由系統運行,而不是在用戶配置文件上運行,無論如何,這是可取的,因為我想強制加密到 VPN1 網關的所有流量。
我希望用戶能夠手動連接到 VPN2,它提供對具有更敏感資源的網路的存取。 VPN2 是進出此網路的唯一途徑 - 防火牆會阻止其他所有途徑。當您單獨連接到 VPN2 時,您無法存取網際網路。
問題是,當使用者連接到兩個 VPN 時,他們的客戶端可以充當橋樑,透過 VPN1 將 VPN2 暴露到網路。我認為我有一個可靠的方法來搶先解決這個問題,即推送 VPN1 用來告訴 Windows 推送所有流量通過 VPN2 的相同靜態路由,除了將路由度量設置為 1 以便它具有優先權之外。這將推動所有流量通過 VPN2,並且其防火牆將阻止任何外部流量,從而無法連接網路。
但 Windows 10 似乎會自動嘗試下一個最佳靜態路由。因此,在嘗試透過 VPN2 閘道到達目的地幾次失敗後,儘管度量值較高,它仍將使用 VPN1。
有沒有辦法防止這種故障轉移?或有任何關於它的文檔以便我可以玩它嗎?例如它在放棄之前嘗試了 3 個網關,所以我新增了 4 個進入防火牆的更高優先權靜態路由?