主页 / server / 问题

问题[split-tunnel](server)

Martin Hope
Lasse Michael Mølgaard
Asked: 2022-02-21 06:10:24 +0800 CST
  • 0

我正在尝试为 VPN 拆分隧道设置 Strongswan。

我想要的只是子网10.88.0.0/1610.0.200.0/24可以通过 VPN 隧道访问。其他一切都default gateway通过网络处理。

所有客户端都分配了一个属于该10.0.201.0/24子网的 IP 地址。

在我的配置文件中,我有以下内容:

# Default login method
eap-defaults {
  remote {
   auth = eap-radius
   id = %any
   eap_id = %any
  }
}

connections
{
  conn-unix : conn-defaults, eap-defaults {
    children {
      net {
        local_ts = 10.0.200.0/24, 10.88.0.0/16
      }

      esp_proposals = aes128gcm128-x25519
    }

    pools = IkeVPN-ipv4
    proposals = aes128-sha256-x25519
  }

  conn-windows : conn-defaults, eap-defaults {
    children {
      net {
        local_ts = 10.0.200.0/24, 10.88.0.0/16
      }

      esp_proposals = aes256-sha256-prfsha256-modp1024
    }

    proposals = aes256-sha256-prfsha256-modp1024
    pools = IkeVPN-ipv4
  }
}

pools
{
  IkeVPN-ipv4 {
    addrs = 10.0.201.0/24
    dns = 10.0.88.2
  }
}

当我通过 VPN 登录时,可以 ping 属于10.88.0.0/16and的主机10.0.200.0/24,所以我知道我可以使用 VPN 隧道。

然而:

如果我在仍然连接到 VPN 的同时尝试访问 Internet 上的任何其他资源,那么我什至无法 ping 属于该资源的 IP 地址。

在我的 Windows 计算机上的路由表中,我可以找到以下条目:

连接到 VPN 服务器的 Windows 客户端的部分路由表

我知道,当您有两条路由到给定子网(如0.0.0.0/0路由表中)时,任何具有最低度量的规则都会获胜,并使用该规则转发流量。

但是我不希望 VPN 服务器通过 VPN 安装默认路由,而只是告诉子网10.88.0.0/16并且10.0.200.0/24必须通过 VPN 路由。

我想要的是我看到一个更接近于此的路由表,而不必在每个 VPN 客户端上手动编辑路由表:

所需的路由表

那么我该怎么做呢?

strongswan split-tunneling split-tunnel
Martin Hope
Keith Stein
Asked: 2021-01-28 08:03:36 +0800 CST
  • 0

我有一个场景,Windows 客户端设备将连接到两个不同的 VPN 网络。每个远程网络都有单独的地址空间,10.0.0.0/16并且10.20.0.0/16分别。IP 路由在客户端计算机上建立,以便这些 IP 范围的流量通过正确的 VPN 连接发送,所有其他流量通过 Internet 正常发送。

这就是我们的乐趣开始的地方。每个网络还托管它自己的 Active Directory 域,我将其DomainA.com称为DomainB.com. 理想情况下,我希望用户能够通过 FQDN 访问任一域中的资源,而不仅仅是 IP 地址。因此,例如,server.DomainA.com将解析到10.0.0.50并通过第一个 VPN 连接进行联系,server.DomainB.com并将解析到10.20.0.50并通过第二个 VPN 进行联系。

当然,网络中的DNS服务器对.com10.0.0.0/16一无所知DomainB.com,网络中的DNS服务器对.com10.20.0.0/16也一无所知DomainA。并且互联网 DNS 不知道任何一个域的正确地址。

在这种情况下,您将如何让 DNS 解析为DomainA.comDomainB.comInternet 工作?我觉得我应该能够告诉 Windows“使用 X DNS 服务器DomainA.com”和“使用 Y DNS 服务器DomainB.com”。有没有办法做到这一点?如果没有,我可以对客户端设备或远程网络进行其他更改吗?

windows vpn domain-name-system split-tunnel
Martin Hope
Eugene
Asked: 2020-07-21 16:38:20 +0800 CST
  • 2

我正在部署一个使用带有证书的 IKEv2+ipsec 的解决方案,以将 roadwarriors 连接到公司网络。Mikrotik CHR 用作入口点。

一切都很快,直到我开始在戴尔笔记本电脑上部署该解决方案。与路由器建立连接后,笔记本电脑不会拆分包含,并且只有 VPN 子网可用。相反,我的管理员电脑是固定工作站,没有这样的问题。

Windows 10 接收拆分包括使用 DHCP。经过一番研究,我发现由于某种原因,戴尔提供的 Windows 10 Pro 1909 无法向路由器发送 DHCP 请求。笔记本电脑获得了它们的地址 DNS,只有拆分包含的路由丢失了。此外,DHCP 在 Wi-Fi 适配器上运行良好。

做了什么:

  • 检查了笔记本电脑和管理员 PC 的路由器日志。笔记本电脑连接时未找到 DHCP 请求。
  • Microtik CHR 嗅探到流量:来自管理员计算机的 DHCP 请求并非来自笔记本电脑。
  • 在笔记本上嗅探流量,未检测到 DHCP 请求。

重新启动、重置ipwinsock使用netsh、恢复到旧的 wi-fi 驱动程序、删除和重新创建 WAN 微型端口、强制 DHCP 进行连接、在笔记本电脑周围跳舞——所有这些都没有帮助。

目前唯一可行的解​​决方案是干净的 MSDN 版本的 Windows 10 1909 安装。有了这个,笔记本电脑可以很好地拆分。但是,这对我来说似乎不是一个合理的解决方案。

我的问题是:

  • 问题的可能原因是什么?
  • 可以做些什么来修复它?
windows ipsec mikrotik split-tunnel ikev2