ভিপিএন ক্লায়েন্টের সাথে রুটগুলি পরিবর্তন করতে পারে না

10

আমার ভিপিএন সংযোগটি টানেলের মাধ্যমে সমস্ত ইন্টারনেট ট্র্যাফিককে বাধ্য করে এবং এটি খুব ধীর slow আমি কেবলমাত্র কয়েকটি নির্দিষ্ট আইপি ঠিকানা টানেল করতে সক্ষম হতে চাই এবং এটি আমার পাশে (ক্লায়েন্ট-পাশ) করতে চাই।

আমি ফরটিএসএসএল ক্লায়েন্টের সাথে একটি ভিপিএন-তে সংযুক্ত করছি, সংযোগ স্থাপনের আগে রুট টেবিলটি দেখতে এমন দেখাচ্ছে:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101     40
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.101    276
    192.168.0.101  255.255.255.255         On-link     192.168.0.101    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.101    276
    192.168.119.0    255.255.255.0         On-link     192.168.119.1    276
    192.168.119.1  255.255.255.255         On-link     192.168.119.1    276
  192.168.119.255  255.255.255.255         On-link     192.168.119.1    276
    192.168.221.0    255.255.255.0         On-link     192.168.221.1    276
    192.168.221.1  255.255.255.255         On-link     192.168.221.1    276
  192.168.221.255  255.255.255.255         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.119.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.101    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.119.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.221.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.101    276

সংযোগের পরে এটি দেখতে এরকম দেখাচ্ছে:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101   4265
          0.0.0.0          0.0.0.0         On-link        172.16.0.1     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       172.16.0.1  255.255.255.255         On-link        172.16.0.1    276
      192.168.0.0    255.255.255.0         On-link     192.168.0.101   4501
    192.168.0.101  255.255.255.255         On-link     192.168.0.101   4501
    192.168.0.255  255.255.255.255         On-link     192.168.0.101   4501
    192.168.119.0    255.255.255.0         On-link     192.168.119.1   4501
    192.168.119.1  255.255.255.255         On-link     192.168.119.1   4501
  192.168.119.255  255.255.255.255         On-link     192.168.119.1   4501
    192.168.221.0    255.255.255.0         On-link     192.168.221.1   4501
    192.168.221.1  255.255.255.255         On-link     192.168.221.1   4501
  192.168.221.255  255.255.255.255         On-link     192.168.221.1   4501
   200.250.246.74  255.255.255.255      192.168.0.1    192.168.0.101   4245
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.119.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.221.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.0.101   4502
        224.0.0.0        240.0.0.0         On-link        172.16.0.1     21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.119.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.221.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.0.101   4501
  255.255.255.255  255.255.255.255         On-link        172.16.0.1    276

ভিপিএন ক্লায়েন্ট আমার অন্যান্য সমস্ত রুটের তুলনায় কম মেট্রিক সহ একটি ক্যাচ-অল রুট রাখে এবং এই টানেলের মাধ্যমে সমস্ত ইন্টারনেট ট্র্যাফিক। আমি আমার ডিফল্ট ইন্টারনেট রুটের মেট্রিককে কম মূল্যে পরিবর্তন করার চেষ্টা করেছি:

C:\Windows\system32>route change 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 10 if 13
OK!

কিন্তু কিছুই পরিবর্তন হয়নি।

তারপরে আমি ভিপিএন এর "ক্যাচ-অল" রুটটি মুছে দেওয়ার চেষ্টা করেছি, উপরের মেট্রিকের সাথে এটি:

C:\Windows\system32>route delete 0.0.0.0 mask 0.0.0.0 if 50
OK!

এবং এটি সবকিছু ভেঙে দিয়েছে:

C:\Windows\system32>ping 8.8.8.8

Pinging 8.8.8.8 with 32 bytes of data:
PING: transmit failed. General failure.

আমি অ্যাডাপ্টারে মেট্রিক পরিবর্তন করার চেষ্টাও করেছি, তবে ফোটিএসএসএল ক্লায়েন্ট যখন সংযোগ করে তখন সমস্ত সেটিংস ওভাররাইড করে, তাই এটি কোনও সাহায্য করেনি।

আমার পক্ষ থেকে সমাধানটি অবশ্যই আসতে হবে, অন্যদিকে লোকেরা সাড়া দিতে কয়েক দিন সময় নেয়।

আমি যদি উইন্ডোজ 7 এক্স 64 চালাচ্ছি তবে এটি সাহায্য করে।

- আপডেট (2013-12-24) -

ধন্যবাদ mbrownnyc এর ডগা, আমি সমস্যাটির পরীক্ষা Rohitab এবং খুঁজে পাওয়া যায় নি FortiSSL ক্লায়েন্ট সঙ্গে যাত্রাপথ টেবিল ঘড়ির NotifyRouteChangeআইপি হেল্পার এপিআই কল।

আমি NotifyRouteChangeকল করার আগে ব্রেকআপপয়েন্ট সেট করেছিলাম এবং ফোর্টিএসএলকে রুট মেট্রিক্স পুনরায় সেট করতে রোধ করার জন্য "কলটি ছেড়ে যান" বিকল্পটি ব্যবহার করেছি এবং আমার এখন রয়েছে:

আমার ওয়াইফাই অ্যাডাপ্টারের পক্ষে মেট্রিক সহ রুটগুলি

তবুও যখন আমি ট্রেসার্ট চালাই তখনও আমার রুটটি ভিপিএন দিয়ে যায়:

C:\Windows\system32>tracert www.google.com

Tracing route to www.google.com [173.194.118.83]
over a maximum of 30 hops:

  1    45 ms    47 ms    45 ms  Jurema [172.16.0.1]

উইন্ডোজ নেটওয়ার্কিংয়ের এমন কোনও দিক রয়েছে যা আমি সচেতন নই যে রুট প্রিন্টের মেট্রিক্স অন্যথায় বললেও কোনও নির্দিষ্ট রুটের পক্ষে যেতে পারে?

windows  vpn 
Juliano
সূত্র
আপনার ভিপিএন ক্লায়েন্টের পক্ষে সেই নীতিটি প্রয়োগ করা কী জাতীয় বিন্দু নয়? সংস্থার সম্ভবত একটি সুরক্ষা নীতি রয়েছে যার জন্য আপনাকে স্প্লিট-টানেলিং ব্যবহার না করা এবং এই নীতিটি রোধ করা কোনও সুরক্ষা ঝুঁকি হতে পারে।
রায়ান রেস
পুরোপুরি বিপরীত. আমার এখন এই সংস্থার অংশীদারদের আইপি-সীমাবদ্ধ ওয়েব পরিষেবাগুলিতে অ্যাক্সেস রয়েছে, যেহেতু আমার ওয়েব ট্র্যাফিক তাদের ইন্টারনেট আইপি ঠিকানার মাধ্যমে চলে out এটি তাদের পক্ষে একটি খুব অলস কনফিগারেশন, যেমন "আমি ভিপিএন এর মাধ্যমে সবকিছু সুড়ঙ্গ করি যাতে রুট টেবিলের জন্য আমাকে আর কোনও আইপি বা সাবনেট যুক্ত করতে হবে না" in
@ জুলিয়ানো বিভক্ত টানেলিং এড়ানোর বিষয়টি হ'ল ব্যবহারকারীরা একটি সুড়ঙ্গে আসতে এবং অন্য টানেলের ডেটা অ্যাক্সেস করতে বাধা দেয়। আমি আশা করব যে আপনি যে নেটওয়ার্কটিতে টানেলিং করছেন তার জন্যও আপনার একই অ্যাক্সেস থাকবে, আপনি যদি নেটওয়ার্কে থাকতেন তবে আপনার থাকতে হবে। তবে আপনি বিশ্বে এই অ্যাক্সেসকে মঞ্জুরি দেওয়ার জন্য একটি বিভক্ত টানেল ব্যবহার করতে চান না।
বিলথোর
2
প্রকৃতপক্ষে যদি আমি সেই নেটওয়ার্কটিতে থাকি আমি আমার পছন্দসই ইন্টারনেট সংযোগটিকে অগ্রাধিকার দিতে আমার রুট এবং মেট্রিক সেটআপ করতে সক্ষম হব (3 জি / 4 জি অর্থাৎ।)। আমার কাছে এই বিকল্পটি থাকবে কারণ আমি হাস্যকরভাবে নিষিদ্ধ ভিপিএন ক্লায়েন্টের অধীন হই না। বিভক্ত টানেলিং প্রতিরোধ করা তাত্ত্বিকভাবে ঠিক মনে হয়, তবে আমি যদি সেই নেটওয়ার্কে প্রকৃতপক্ষে থাকি তবে তার চেয়ে বেশি পথ সীমাবদ্ধ করে। আপনি ছেলেরা এমন কোনও সুরক্ষা বাস্তবায়নকে ন্যায্যতা দিচ্ছেন যা আমাকে উপায় খুঁজে বের করার পরিবর্তে আমাকে আঘাত করছে, যা এখন প্রশ্ন। আমি কীভাবে এটিকে বাইপাস করব?
ইন্টারফেস মেট্রিকগুলিও রয়েছে: ncpa.cpl> NIC বৈশিষ্ট্য> আইপি ভি 4 স্ট্যাক প্রবেশের বৈশিষ্ট্য> সাধারণ ট্যাব / উন্নত> স্বয়ংক্রিয় মেট্রিক। উভয় ইন্টারফেসে সেখানে তাকান। মাল্টিহোমড উইন্ডোজ সম্পর্কে এই ব্লগ পোস্টটি দেখুন ।
mbrownnyc

উত্তর:

2

নোট করুন যে আমি এখানে সম্বোধনের জন্য নিয়মিত নেটওয়ার্কিং স্বরলিপি ব্যবহার করছি না (যেমন সিআইডিআর বা এমনকি host/maskস্বীকৃতি, যেমন প্রশ্নকারীকে বিভ্রান্ত না করে)।

আপনার "ডিফল্ট গেটওয়ে" রুটটি মুছে ফেলার পরিবর্তে ( 0.0.0.0 mask 0.0.0.0) যাতে আপনার নেটওয়ার্ক স্ট্যাকের বেশিরভাগ প্যাকেটগুলি কোথায় প্রেরণ করা যায় সে সম্পর্কে কোনও ধারণা নেই, আপনার ডিফল্ট রুটের নীচে ভিপিএন রুটের মেট্রিক বাড়ানোর চেষ্টা করুন (এই ক্ষেত্রে 4265)।

ফোরিগেট ক্লায়েন্টের সাথে সংযুক্ত হওয়ার পরে:

route change 0.0.0.0 mask 0.0.0.0 172.16.0.1 metric 4266 if N

যেখানে এন হল ইন্টারফেসের fortisslশুরুতে ফিরে আসা ইন্টারফেস নম্বর route print

নেটওয়ার্কিং স্ট্যাকের এটি সঠিকভাবে আচরণ করা উচিত:

  • রুট যে "গন্তব্য ঠিকানা অন্তর্ভুক্ত" প্যাকেট হ্যান্ডেল পাবেন (রুটের জন্য পূর্বনির্দিষ্ট পাঠান প্যাকেট নেটওয়ার্কের স্ট্যাক বলে this IPকরতে this gatewayআরও রাউটিং জন্য)।
  • গন্তব্য আইপি সহ সমস্ত প্যাকেট 172.16.*.*ভিপিএন-তে প্রেরণ করা হবে; কারণ উইন্ডোজ নেটওয়ার্ক স্ট্যাকটি জানে যে কোনও ইন্টারফেসের সাথে যদি কোনও ঠিকানা সংযুক্ত থাকে তবে সেই ইন্টারফেসটি কীভাবে আপনি সেই ঠিকানা পরিসরে অন্যান্য আইপিগুলিতে অ্যাক্সেস পাবেন। আপনি যদি এর জন্য "সাবনেট মাস্ক" পোস্ট করেন তবে আমি পরিসীমাটির সাথে আরও স্পষ্ট পেতে পারি 172.16.0.1

আপনাকে অবশ্যই ভিপিএন এর মাধ্যমে অ্যাক্সেসের প্রয়োজন এমন সংস্থানগুলির আইপি ঠিকানাগুলি নির্ধারণ করতে হবে। nslookup [hostname of resource]রুটগুলি সামঞ্জস্য না করে সংযুক্ত থাকাকালীন আপনি এটি ব্যবহার করে সহজেই করতে পারেন ।

[গলাবাজি]

ভিপিএন-এর উপর স্প্লিট-টানেলিংয়ের অনুমতি দেওয়ার ক্ষেত্রে আমার কোনও সমস্যা নেই, বিশেষত আপনি ব্যবহারের সমস্যার কারণ হিসাবে ite যদি আপনার আইটি বিভাগটি স্প্লিট-টানেলিংটিকে কোনও সুরক্ষা ব্যবস্থা মনে করে তবে তাদের কী করা হচ্ছে তা নিয়ে তাদের পুনর্বিবেচনা করা দরকার:

  • ভিপিএন ক্লায়েন্টদের সংস্থানগুলিতে অ্যাক্সেসকে বিচ্ছিন্ন করে দেওয়া উচিত এবং ইন্টারনেটের মাধ্যমে সেগুলি অ্যাক্সেসযোগ্য হওয়াতে প্রচুর পরিমাণে সীমাবদ্ধ করা উচিত (কারণ যে সম্পদগুলিতে যেখানে আপনি সম্পূর্ণ নিয়ন্ত্রণের উপর চাপ দিচ্ছেন না এমন সম্পদ যেখানে আপনি কিছু উল্লেখ করতে পারেন তার চেয়ে বেশি ঝুঁকি উপস্থিত রয়েছে)।
  • তাদের ভিপিএন ক্লায়েন্টদের জন্য একটি নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থা একীকরণ করা উচিত। এটি তাদের ক্লায়েন্ট মেশিনে কিছু নীতি প্রয়োগ করার অনুমতি দিতে পারে (যেমন "" অ্যান্টি-ভাইরাস সংজ্ঞা আপ টু ডেট? "ইত্যাদি ইত্যাদি)।
  • ফরজিগেট এসএসএল ভিপিএন ভার্চুয়াল ডেস্কটপ (যা কনফিগার করা মোটামুটি সহজ এবং এসএসএল ভিপিএন লাইসেন্স দিয়ে [আমার মনে হয়] মুক্ত) এর মতো অনমনীয় সমাধানটি বিবেচনা করুন ।

[/ গলাবাজি]

mbrownnyc
সূত্র
আমি যখন ভিপিএন এর ০.০.০.০ রুট মেট্রিককে ইন্টারনেটের রুটের চেয়ে উচ্চতর মানতে পরিবর্তন করার চেষ্টা করি তখন ফোরটিএসএল ক্লায়েন্ট আমার ইন্টারনেট রুটটিকে আরও উচ্চতর মেট্রিকে সেট করে।
জুলিয়ানো
"পরে" সারণীতে দুটি ডিফল্ট গেটওয়ে রুট ছিল। ভিপিএন এর 0.0.0.0 এবং ওয়াইফাই কার্ডের 0.0.0.0। আমি ভিপিএন এর ডিফল্ট গেটওয়ে মুছে ফেলেছি তবে ওয়াইফাই কার্ডের একটি রেখে দিয়েছি, যা এটি আগের মতো করা উচিত, তবে এটি সমস্ত কিছু ভেঙে দিয়েছে। হয় ফোর্টিসেল লোকেরা যা করার চেষ্টা করছে তা করতে বাধা দেওয়ার জন্য স্ট্যাকের জন্য কিছু করে, বা আমি এটি ভুল করছি।
জুলিয়ানো
এগুলি ভিন্ন ইন্টারফেস, সুতরাং আপনার পৃথকভাবে রুটের রুটের ব্যয় সামঞ্জস্য করতে সক্ষম হওয়া উচিত। যদি ক্লায়েন্ট রাউটিং টেবিলটি দেখেন তবে কিছুই আপনাকে সেখানে সাহায্য করবে না। সিসকো ভিপিএন ক্লায়েন্টটি একটি PRF ফাইলের সাথে কনফিগার করা হয়েছে যা সিস্টেমে নিয়ন্ত্রণ করা যায়। ফোরিগেট এসএসএল ক্লায়েন্ট সম্ভবত রেজিস্ট্রি বা ফাইল একই রকম। আমি ঠিক নিশ্চিত না সেটিংটি কোথায় হবে। কিছুটা ঝুঁকুন এবং আপনি এমন কিছু খুঁজে পেতে পারেন যা আপনাকে ক্লায়েন্টকে কনফিগার করতে দেয়। অতিরিক্তভাবে, "স্প্লিট টানেলিংয়ের জন্য সমর্থন" ফোরজিগেট ইউনিটে "সার্ভার-সাইড" / কনফিগার করে।
mbrownnyc
মধ্যে দেখুন: HKEY_CURRENT_USER\Software\Fortinet\SslvpnClientTunnelআকর্ষণীয় হওয়া উচিত। আপনি যা খুশি তা পোস্ট করুন। অথবা উত্তর হিসাবে চিহ্নিত করুন community wikiযাতে আপনি অন্যদের সাহায্য করতে পারেন।
mbrownnyc
1
খুব খারাপ. আপনার পরিস্থিতি সম্পর্কে নিশ্চিত নন, তবে এটি কি স্প্লিট টানেলিংয়ের জন্য একটি অনুরোধ দেওয়া উচিত? অন্যথায়, দেখে মনে হচ্ছে আপনাকে রোহিতব বা এমএসএফটি'র বিবর্তনের মতো কিছু সহ কিছু এপিআই কল হাইজ্যাক করতে হবে। এটি একটি মজার উইকএন্ডের প্রকল্প হতে পারে!
mbrownnyc
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.