वीपीएन क्लाइंट के साथ रूट नहीं बदल सकते

10

मेरा वीपीएन कनेक्शन सुरंग के माध्यम से सभी इंटरनेट ट्रैफ़िक को बाध्य करता है, और यह बहुत धीमा है। मैं केवल कुछ IP पतों को सुरंग करने में सक्षम होना चाहता हूं, और ऐसा मेरे पक्ष (क्लाइंट-साइड) में करना चाहता हूं।

मैं FortiSSL क्लाइंट के साथ एक वीपीएन से जुड़ रहा हूं , कनेक्शन स्थापित होने से पहले रूट तालिका इस तरह दिखती है:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101     40
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.101    276
    192.168.0.101  255.255.255.255         On-link     192.168.0.101    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.101    276
    192.168.119.0    255.255.255.0         On-link     192.168.119.1    276
    192.168.119.1  255.255.255.255         On-link     192.168.119.1    276
  192.168.119.255  255.255.255.255         On-link     192.168.119.1    276
    192.168.221.0    255.255.255.0         On-link     192.168.221.1    276
    192.168.221.1  255.255.255.255         On-link     192.168.221.1    276
  192.168.221.255  255.255.255.255         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.119.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.101    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.119.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.221.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.101    276

कनेक्ट करने के बाद यह इस तरह दिखता है:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101   4265
          0.0.0.0          0.0.0.0         On-link        172.16.0.1     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       172.16.0.1  255.255.255.255         On-link        172.16.0.1    276
      192.168.0.0    255.255.255.0         On-link     192.168.0.101   4501
    192.168.0.101  255.255.255.255         On-link     192.168.0.101   4501
    192.168.0.255  255.255.255.255         On-link     192.168.0.101   4501
    192.168.119.0    255.255.255.0         On-link     192.168.119.1   4501
    192.168.119.1  255.255.255.255         On-link     192.168.119.1   4501
  192.168.119.255  255.255.255.255         On-link     192.168.119.1   4501
    192.168.221.0    255.255.255.0         On-link     192.168.221.1   4501
    192.168.221.1  255.255.255.255         On-link     192.168.221.1   4501
  192.168.221.255  255.255.255.255         On-link     192.168.221.1   4501
   200.250.246.74  255.255.255.255      192.168.0.1    192.168.0.101   4245
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.119.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.221.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.0.101   4502
        224.0.0.0        240.0.0.0         On-link        172.16.0.1     21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.119.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.221.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.0.101   4501
  255.255.255.255  255.255.255.255         On-link        172.16.0.1    276

वीपीएन क्लाइंट मेरे सभी अन्य मार्गों की तुलना में कम मीट्रिक के साथ कैच-ऑल मार्ग रखता है और यह सुरंग के माध्यम से सभी इंटरनेट ट्रैफ़िक को रूट करता है। मैंने अपने डिफ़ॉल्ट इंटरनेट मार्ग के मीट्रिक को कम मूल्य पर बदलने की कोशिश की:

C:\Windows\system32>route change 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 10 if 13
OK!

लेकिन कुछ भी नहीं बदला।

फिर मैंने वीपीएन के "कैच-ऑल" मार्ग को हटाने की कोशिश की, जो कि मीट्रिक 21 से ऊपर है:

C:\Windows\system32>route delete 0.0.0.0 mask 0.0.0.0 if 50
OK!

और इसने सब कुछ तोड़ दिया:

C:\Windows\system32>ping 8.8.8.8

Pinging 8.8.8.8 with 32 bytes of data:
PING: transmit failed. General failure.

मैंने एडेप्टर पर मीट्रिक को भी बदलने की कोशिश की, लेकिन FortiSSL क्लाइंट कनेक्ट होने पर सभी सेटिंग्स को ओवरराइड करता है, इसलिए उसने मदद नहीं की।

फिक्स मेरी तरफ से आना चाहिए, क्योंकि दूसरी तरफ के लोगों को प्रतिक्रिया देने में दिन लगते हैं।

मैं विंडोज 7 x 64 चला रहा हूँ अगर वह मदद करता है।

- अद्यतन (2013-12-24) -

Mbrownnyc की टिप के लिए धन्यवाद , मैंने रोहिताब के साथ इस मुद्दे की जांच की और पाया कि फोर्टिएसएसएल क्लाइंट NotifyRouteChangeआईपी ​​हेल्पर एपीआई कॉल के साथ रूट तालिका देखता है ।

मैंने NotifyRouteChangeकॉल करने से पहले एक ब्रेकपॉइंट सेट किया और रूट मेट्रिक्स को रीसेट करने से फोर्टीएसएसएल को रोकने के लिए "स्किप कॉल" विकल्प का उपयोग किया, और मेरे पास अब है:

मेट्रिक्स वाले रूट मेरे वाईफाई एडॉप्टर के पक्ष में हैं

फिर भी जब मैं अपने मार्ग को चलाता हूं तो अभी भी वीपीएन के माध्यम से बाहर निकलता है:

C:\Windows\system32>tracert www.google.com

Tracing route to www.google.com [173.194.118.83]
over a maximum of 30 hops:

  1    45 ms    47 ms    45 ms  Jurema [172.16.0.1]

क्या विंडोज़ नेटवर्किंग का कोई ऐसा पहलू है जिसके बारे में मुझे जानकारी नहीं है कि रूट प्रिंट के मेट्रिक्स के अन्यथा कहने पर भी एक निश्चित मार्ग का पक्ष लिया जा सकता है?

windows  vpn 
Juliano
स्रोत
क्या उस नीति को लागू करने के लिए आपके वीपीएन क्लाइंट के लिए इस तरह की बात नहीं है? कंपनी के पास शायद एक सुरक्षा नीति है जिसके लिए आपको विभाजित-सुरंगों का उपयोग नहीं करना पड़ता है, और उस नीति को दरकिनार करना एक सुरक्षा जोखिम होगा।
रियान रेज़
बिल्कुल इसके विपरीत। अब मेरे पास इस कंपनी के भागीदारों के आईपी-प्रतिबंधित वेबसर्विसेस की पहुंच है, क्योंकि मेरा वेब ट्रैफ़िक उनके इंटरनेट आईपी पते के माध्यम से निकलता है। यह उनके हिस्से में एक बहुत ही आलसी कॉन्फ़िगरेशन है, जैसे कि "मैं वीपीएन के माध्यम से सब कुछ सुरंग कर दूंगा, इसलिए मुझे रूट तालिका में एक और आईपी या सबनेट नहीं जोड़ना होगा"।
@ जूलियानो विभाजित टनलिंग से बचने का उद्देश्य उपयोगकर्ताओं को एक सुरंग में आने से रोकना है और फिर दूसरी सुरंग पर डेटा तक पहुंच बनाना है। मैं आपसे यह उम्मीद करूंगा कि जिस नेटवर्क पर आप नेटवर्क कर रहे हैं, उसी नेटवर्क तक आपकी पहुंच हो। हालाँकि, आप उस एक्सेस को दुनिया तक पहुंचाने के लिए स्प्लिट टनल का उपयोग नहीं करना चाहते हैं।
बिल्टोर
2
वास्तव में अगर मैं उस नेटवर्क पर होता तो मैं अपने इंटरनेट कनेक्शन को प्राथमिकता देने के लिए अपने मार्गों और मैट्रिक्स को सेटअप करने में सक्षम होता जो मुझे वांछित था (3 जी / 4 जी यानी।)। मेरे पास वह विकल्प होगा क्योंकि मैं एक हास्यास्पद प्रतिबंधात्मक वीपीएन क्लाइंट के अधीन नहीं होगा। विभाजित टनलिंग को रोकना सिद्धांत रूप में ठीक लगता है, लेकिन यह मुझे उस समय से अधिक सीमित कर देता है जब मैं वास्तव में उस नेटवर्क पर शारीरिक रूप से था। आप लोग एक सुरक्षा कार्यान्वयन को सही ठहरा रहे हैं जो मुझे रास्ता निकालने में मदद करने के बजाय मुझे चोट पहुँचा रहा है, जो कि सवाल है। मैं इसे कैसे दरकिनार करूं?
इंटरफ़ेस मेट्रिक्स भी है: ncpa.cpl> एनआईसी गुण> आईपी वी 4 स्टैक एंट्री प्रॉपर्टीज> जनरल टैब / एडवांस्ड> ऑटोमैटिक मैट्रिक। दोनों इंटरफेस पर देखें। मल्टीहोमेड विंडोज के बारे में इस ब्लॉग पोस्ट को भी देखें ।
mbrownnyc

जवाबों:

2

ध्यान दें कि मैं यहां संबोधित करने के लिए नियमित नेटवर्किंग नोटेशन का उपयोग नहीं कर रहा हूं (जैसे कि CIDR या यहां तक ​​कि host/maskनोटेशन, जैसा कि पूछने वाले को भ्रमित करने के लिए नहीं)।

अपने "डिफ़ॉल्ट गेटवे" मार्ग ( 0.0.0.0 mask 0.0.0.0) को हटाने के बजाय, ताकि आपके नेटवर्क स्टैक को पता न चले कि अधिकांश पैकेट कहां भेजना है, अपने डिफ़ॉल्ट मार्ग के नीचे (इस मामले में 4265) वीपीएन मार्ग के मीट्रिक को ऊपर उठाने का प्रयास करें ।

Fortigate क्लाइंट से जुड़ने के बाद:

route change 0.0.0.0 mask 0.0.0.0 172.16.0.1 metric 4266 if N

जहाँ N, इंटरफ़ेस fortisslकी शुरुआत के लिए इंटरफ़ेस नंबर है route print

नेटवर्किंग स्टैक को इसका उचित उपचार करना चाहिए:

  • मार्ग है कि "गंतव्य पते शामिल हैं" पैकेट संभाल लेंगे (मार्ग के लिए किस्मत में भेजने के पैकेट के लिए नेटवर्क स्टैक बताता है this IPकरने के लिए this gatewayआगे के मार्ग के लिए)।
  • एक गंतव्य आईपी के साथ सभी पैकेट 172.16.*.*वीपीएन को भेजे जाएंगे; क्योंकि Windows नेटवर्क स्टैक जानता है कि यदि किसी इंटरफ़ेस से जुड़ा कोई पता है, तो वह इंटरफ़ेस है कि आप उस एड्रेस रेंज में अन्य IP को कैसे एक्सेस करते हैं। यदि आप "सबनेट मास्क" को पोस्ट करते हैं तो मैं रेंज के साथ अधिक स्पष्ट हो सकता हूं 172.16.0.1

आपको उन संसाधनों के आईपी पते का निर्धारण करना चाहिए जिनकी आपको वीपीएन तक पहुँच की आवश्यकता है। nslookup [hostname of resource]मार्गों को समायोजित किए बिना कनेक्ट होने पर आप इसका उपयोग आसानी से कर सकते हैं ।

[शेख़ी]

मुझे वीपीएन से अधिक विभाजन-टनलिंग की अनुमति देने में कोई समस्या नहीं है, विशेष रूप से उपयोग के मुद्दे के कारण आप उद्धृत करते हैं। यदि आपका आईटी विभाग एक सुरक्षा तंत्र को विभाजित-टनलिंग मानता है, तो उन्हें इस बात पर पुनर्विचार करने की आवश्यकता है कि वे क्या कर रहे हैं:

  • वीपीएन क्लाइंट्स की संसाधनों तक पहुँच को अलग और भारी प्रतिबंधित किया जाना चाहिए जैसे कि उन्हें इंटरनेट के माध्यम से एक्सेस किया जा रहा है (क्योंकि ऐसी परिसंपत्तियाँ जहाँ आप पूर्ण नियंत्रण नहीं रखते हैं, उन परिसंपत्तियों की तुलना में अधिक जोखिम मौजूद हैं जहाँ आप कुछ कर सकते हैं)।
  • उन्हें वीपीएन क्लाइंट के लिए नेटवर्क एक्सेस कंट्रोल मैकेनिज्म को इंटीग्रेट करना चाहिए। यह उन्हें क्लाइंट मशीनों पर कुछ नीतियों को लागू करने की अनुमति दे सकता है (जैसे कि "आज तक एंटी-वायरस परिभाषाएं हैं?", आदि)।
  • फोर्टजेट एसएसएल वीपीएन वर्चुअल डेस्कटॉप जैसे कठोर समाधान का उपयोग करने पर विचार करें (जो कि कॉन्फ़िगर करना आसान है और एसएसएल वीपीएन लाइसेंस के साथ [मुझे लगता है] मुफ्त)।

[/ शेख़ी]

mbrownnyc
स्रोत
जब मैं इंटरनेट मार्ग की तुलना में वीपीएन के 0.0.0.0 मार्ग मीट्रिक को उच्च मूल्य पर बदलने का प्रयास करता हूं, तो फोर्टिएसएसएल क्लाइंट मेरे इंटरनेट मार्ग को और भी अधिक मीट्रिक पर सेट करता है।
जूलियानो
"बाद" तालिका में दो डिफ़ॉल्ट गेटवे मार्ग थे। वीपीएन का 0.0.0.0 और वाईफाई कार्ड का 0.0.0.0 है। मैंने वीपीएन के डिफ़ॉल्ट गेटवे को हटा दिया, लेकिन वाईफाई कार्ड को छोड़ दिया, जो इसे पहले की तरह बनाना चाहिए, लेकिन इसने सब कुछ तोड़ दिया। या तो फोर्टिसल लोगों को जो करने की कोशिश कर रहा है उसे रोकने के लिए स्टैक के लिए कुछ करता है, या मैं इसे गलत कर रहा हूं।
जूलियानो
वे अलग-अलग इंटरफेस हैं, इसलिए आपको मार्गों की मार्ग लागत को अलग से समायोजित करने में सक्षम होना चाहिए। यदि क्लाइंट रूटिंग टेबल देखता है, तो कुछ भी आपकी मदद करने वाला नहीं है। सिस्को वीपीएन क्लाइंट एक पीआरएफ फ़ाइल के साथ कॉन्फ़िगर किया गया है जिसे सिस्टम पर नियंत्रित किया जा सकता है। फोर्टजेट एसएसएल क्लाइंट संभवतः रजिस्ट्री या फ़ाइल के समान है। मैं सिर्फ अनिश्चित हूं कि सेटिंग कहां होगी। थोडा आस-पास थपथपाएं और आपको कुछ ऐसा मिल सकता है जिससे आप क्लाइंट को कॉन्फ़िगर कर सकते हैं। इसके अतिरिक्त, "विभाजन टनलिंग के लिए समर्थन" को "सर्वर-साइड" / फोरगेट इकाई पर कॉन्फ़िगर किया गया है।
mbrownnyc
भीतर देखो: HKEY_CURRENT_USER\Software\Fortinet\SslvpnClientTunnelदिलचस्प होना चाहिए। कृपया आपको जो भी मिले उसे वापस पोस्ट करें। या जवाब दें और चिह्नित करें community wikiताकि आप दूसरों की मदद कर सकें।
mbrownnyc
1
बहुत बुरा। अपनी स्थिति के बारे में सुनिश्चित नहीं है, लेकिन क्या यह विभाजित सुरंग के लिए अनुरोध करने के लायक है? अन्यथा, ऐसा लगता है कि आपको कुछ एपीआई कॉल के साथ रोहिताब या एमएसएफटी के डिटर्जेंट को हाईजैक करना होगा। यह एक मजेदार सप्ताहांत परियोजना हो सकती है!
mbrownnyc
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.