Вопрос или проблема
У меня есть виртуальная машина в Azure, на которой работает OpenVPN. Я использую его в течение нескольких лет без проблем. Недавно я приобрел новый компьютер с Windows 11 и не могу понять, почему он теряет интернет, когда я подключаюсь к VPN. Я использую тот же файл конфигурации, который в настоящее время работает на моем старом компьютере с Windows 10 и на моем компьютере с Linux.
Ниже представлен мой конфигурационный файл:
client
proto udp
explicit-exit-notify
remote [MYVPN].com 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_fx[...]IC name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Предотвратить утечку DNS в Windows 10
verb 3
-----BEGIN CERTIFICATE-----
...
Единственная разница, которую я вижу в журнале на Win11 по сравнению с Win10, заключается в том, что журнал Win10 останавливается на строке Blocking outside dns using service succeeded., а Win11 добавляет следующее:
Tue Jun 6 13:08:31 2023 Blocking outside dns using service succeeded.
Tue Jun 6 13:08:31 2023 C:\WINDOWS\system32\route.exe ADD [VPN_IP] MASK 255.255.255.255 192.168.1.1
Tue Jun 6 13:08:31 2023 Route addition via service succeeded
Tue Jun 6 13:08:31 2023 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.1
Tue Jun 6 13:08:31 2023 Route addition via service succeeded
Tue Jun 6 13:08:31 2023 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.1
Tue Jun 6 13:08:31 2023 Route addition via service succeeded
Tue Jun 6 13:08:31 2023 Initialization Sequence Completed
Tue Jun 6 13:08:31 2023 MANAGEMENT: >STATE:1686020911,CONNECTED,SUCCESS,10.8.0.3,[VPN_IP],1194,,
Tue Jun 6 13:08:31 2023 Data Channel: cipher 'AES-128-GCM', peer-id: 0
Tue Jun 6 13:08:31 2023 Timers: ping 10, ping-restart 120
Tue Jun 6 13:08:31 2023 Protocol options: explicit-exit-notify 1
Я пробовал обычные вещи, такие как переустановка, отключение брандмауэра, добавление OpenVPN и OpenVPN GUI в список исключений, обеспечение запуска под администратором и т.д.
Подключение проходит успешно, но при подключении я не могу просматривать веб-сайты или выполнить ping 8.8.8.8 или tracert 8.8.8.8, все операции завершаются по таймауту, и Windows жалуется, что я потерял подключение к интернету. Обратите внимание, что при подключении к VPN я хочу, чтобы весь трафик проходил через него.
Таблица маршрутов выглядит так, как будто она обновляется правильно при подключении:
C:\> route print
===========================================================================
Interface List
20...........................OpenVPN Data Channel O..load
12...........................Wintun Userspace Tunnel
6...00 .. .. .. .. 54 ......TAP-Windows Adapter V9
5...98 .. .. .. .. a5 ......Microsoft Wi-Fi Direct Virtual Adapter
18...9a .. .. .. .. a4 ......Microsoft Wi-Fi Direct Virtual Adapter #2
16...00 .. .. .. .. 01 ......VMware Virtual Ethernet Adapter for VMnet1
23...00 .. .. .. .. 08 ......VMware Virtual Ethernet Adapter for VMnet8
7...98 .. .. .. .. a4 ......Intel(R) Wi-Fi 6E AX211 160MHz
15...98 .. .. .. .. a8 ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.186 40
0.0.0.0 128.0.0.0 10.8.0.1 10.8.0.3 259
10.8.0.0 255.255.255.0 On-link 10.8.0.3 259
10.8.0.3 255.255.255.255 On-link 10.8.0.3 259
10.8.0.255 255.255.255.255 On-link 10.8.0.3 259
[VPN_IP] 255.255.255.255 192.168.1.1 192.168.1.186 296
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.8.0.1 10.8.0.3 259
192.168.1.0 255.255.255.0 On-link 192.168.1.186 296
192.168.1.186 255.255.255.255 On-link 192.168.1.186 296
192.168.1.255 255.255.255.255 On-link 192.168.1.186 296
192.168.60.0 255.255.255.0 On-link 192.168.60.1 291
192.168.60.1 255.255.255.255 On-link 192.168.60.1 291
192.168.60.255 255.255.255.255 On-link 192.168.60.1 291
192.168.88.0 255.255.255.0 On-link 192.168.88.1 291
192.168.88.1 255.255.255.255 On-link 192.168.88.1 291
192.168.88.255 255.255.255.255 On-link 192.168.88.1 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.88.1 291
224.0.0.0 240.0.0.0 On-link 192.168.60.1 291
224.0.0.0 240.0.0.0 On-link 10.8.0.3 259
224.0.0.0 240.0.0.0 On-link 192.168.1.186 296
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.88.1 291
255.255.255.255 255.255.255.255 On-link 192.168.60.1 291
255.255.255.255 255.255.255.255 On-link 10.8.0.3 259
255.255.255.255 255.255.255.255 On-link 192.168.1.186 296
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
16 291 fe80::/64 On-link
23 291 fe80::/64 On-link
20 259 fe80::/64 On-link
7 296 fe80::/64 On-link
7 296 fe80::38b:c8fa:8c0f:e7eb/128
On-link
23 291 fe80::66d1:fa0c:faf:76ae/128
On-link
16 291 fe80::7cee:ec22:fbe6:b4c5/128
On-link
20 259 fe80::9ec1:6dd9:f3c4:130b/128
On-link
1 331 ff00::/8 On-link
16 291 ff00::/8 On-link
23 291 ff00::/8 On-link
20 259 ff00::/8 On-link
7 296 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Не уверен, где еще искать. Это должно быть что-то специфическое для Windows 11, так как все работает на других устройствах с Windows 10 и Linux. Полный журнал OpenVPN также приведен ниже:
Tue Jun 6 13:08:29 2023 OpenVPN 2.6.4 [git:v2.6.4/b4f749f14a8edc75] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] построен 11 мая 2023 года
Tue Jun 6 13:08:29 2023 Версия Windows 10.0 (Windows 10 или выше), исполняемый файл amd64
Tue Jun 6 13:08:29 2023 версии библиотек: OpenSSL 3.1.0 14 марта 2023, LZO 2.10
Tue Jun 6 13:08:29 2023 версия DCO: v0
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: TCP Socket слушает на [AF_INET]127.0.0.1:25340
Tue Jun 6 13:08:29 2023 Нужен релиз удержания из интерфейса управления, ждем...
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: Клиент подключен от [AF_INET]127.0.0.1:59984
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: CMD 'state on'
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: CMD 'log on all'
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: CMD 'echo on all'
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: CMD 'bytecount 5'
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: CMD 'state'
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: CMD 'hold off'
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: CMD 'hold release'
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: >STATE:1686020909,RESOLVE,,,,,,
Tue Jun 6 13:08:29 2023 TCP/UDP: Сохранение недавно использованного удаленного адреса: [AF_INET][VPN_IP]:1194
Tue Jun 6 13:08:29 2023 ovpn-dco устройство [OpenVPN Data Channel Offload] открыто
Tue Jun 6 13:08:29 2023 UDP ссылка локальная: (не привязана)
Tue Jun 6 13:08:29 2023 UDP ссылка удаленная: [AF_INET][VPN_IP]:1194
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: >STATE:1686020909,WAIT,,,,,,
Tue Jun 6 13:08:29 2023 УПРАВЛЕНИЕ: >STATE:1686020909,AUTH,,,,,,
Tue Jun 6 13:08:29 2023 TLS: Первоначальный пакет от [AF_INET][VPN_IP]:1194, sid=320fdc3e bf8fe132
Tue Jun 6 13:08:29 2023 ВЕРИФИКАЦИЯ ОК: depth=1, CN=cn_Kz[...]Eq
Tue Jun 6 13:08:29 2023 ВЕРИФИКАЦИЯ KU ОК
Tue Jun 6 13:08:29 2023 Проверка расширенного использования ключа сертификата
Tue Jun 6 13:08:29 2023 ++ Сертификат имеет EKU (str) TLS Web Server Authentication, ожидает TLS Web Server Authentication
Tue Jun 6 13:08:29 2023 ВЕРИФИКАЦИЯ EKU ОК
Tue Jun 6 13:08:29 2023 ВЕРИФИКАЦИЯ X509NAME ОК: CN=server_fx[...]IC
Tue Jun 6 13:08:29 2023 ВЕРИФИКАЦИЯ ОК: depth=0, CN=server_fx[...]IC
Tue Jun 6 13:08:30 2023 Управление каналом: TLSv1.3, шифр TLSv1.3 TLS_AES_256_GCM_SHA384, сертификат партнера: 256 бит ECprime256v1, подпись: ecdsa-with-SHA256
Tue Jun 6 13:08:30 2023 [server_fx[...]IC] Партнерское соединение установлено с [AF_INET][VPN_IP]:1194
Tue Jun 6 13:08:30 2023 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
Tue Jun 6 13:08:30 2023 TLS: tls_multi_process: первоначальная недоверенная сессия повышена до доверенной
Tue Jun 6 13:08:31 2023 УПРАВЛЕНИЕ: >STATE:1686020911,GET_CONFIG,,,,,,
Tue Jun 6 13:08:31 2023 ОТПРАВЛЕН КОНТРОЛЬ [server_fx[...]IC]: 'PUSH_REQUEST' (status=1)
Tue Jun 6 13:08:31 2023 PUSH: Получено управляющее сообщение: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,redirect-gateway def1 bypass-dhcp,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.3 255.255.255.0,peer-id 0,cipher AES-128-GCM'
Tue Jun 6 13:08:31 2023 ИМПОРТ ОПЦИЙ: --ifconfig/up options modified
Tue Jun 6 13:08:31 2023 ИМПОРТ ОПЦИЙ: маршрутизационные опции изменены
Tue Jun 6 13:08:31 2023 ИМПОРТ ОПЦИЙ: опции, связанные с маршрутами, изменены
Tue Jun 6 13:08:31 2023 ИМПОРТ ОПЦИЙ: --ip-win32 и/или --dhcp-option options изменены
Tue Jun 6 13:08:31 2023 интерактивное сообщение сервиса msg_channel=820
Tue Jun 6 13:08:31 2023 УПРАВЛЕНИЕ: >STATE:1686020911,ASSIGN_IP,,10.8.0.3,,,,
Tue Jun 6 13:08:31 2023 INET address service: add 10.8.0.3/24
Tue Jun 6 13:08:31 2023 IPv4 DNS-серверы установлены с помощью сервиса
Tue Jun 6 13:08:31 2023 IPv4 MTU установлен на 1500 на интерфейсе 20 с помощью сервиса
Tue Jun 6 13:08:31 2023 Блокировка внешнего DNS с помощью сервиса прошла успешно.
Tue Jun 6 13:08:31 2023 C:\WINDOWS\system32\route.exe ADD [VPN_IP] MASK 255.255.255.255 192.168.1.1
Tue Jun 6 13:08:31 2023 Добавление маршрута через сервис успешно
Tue Jun 6 13:08:31 2023 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.1
Tue Jun 6 13:08:31 2023 Добавление маршрута через сервис успешно
Tue Jun 6 13:08:31 2023 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.1
Tue Jun 6 13:08:31 2023 Добавление маршрута через сервис успешно
Tue Jun 6 13:08:31 2023 Последовательность инициализации завершена
Tue Jun 6 13:08:31 2023 УПРАВЛЕНИЕ: >STATE:1686020911,CONNECTED,SUCCESS,10.8.0.3,[VPN_IP],1194,,
Tue Jun 6 13:08:31 2023 Канал передачи данных: шифр 'AES-128-GCM', идентификатор партнера: 0
Tue Jun 6 13:08:31 2023 Таймеры: ping 10, ping-restart 120
Tue Jun 6 13:08:31 2023 Опции протокола: explicit-exit-notify 1
РЕДАКТИРОВАТЬ:
Еще одно различие, которое я заметил, было в Центре управления сетями и общим доступом на Windows 11, активная сеть появляется как “OpenVPN Data Channel Offload 2” с значениями Тип доступа: Отсутствует доступ к сети и Подключения: OpenVPN Data Channel Offload. На Windows 10 она отображается как “Неопознанная сеть” с Тип доступа: Интернет и Подключения: Ethernet и vEthernet (WSL). Не уверен, имеет ли это значение.
Возможно, проблема связана с маршрутизацией вашего Windows 11, вы определили основной шлюз как 10.8.0.1 (сервер VPN), но для маршрута сервера VPN он устанавливает шлюз как ваш локальный шлюз (192.168.1.1), это может сбить маршрутизацию.
Давайте попробуем изменить следующие строки в вашем конфигурационном файле OpenVPN
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
Кажется, что OpenVPN Client не устанавливает сетевые конфигурации правильно.
После подключения вам нужно вручную изменить параметры сетевого адаптера VPN в соответствии с тем, как они установлены на сервере.
Перейдите в свойства сетевого адаптера [TAP Windows adapter V9] и измените IP, подсеть, шлюз и DNS.
Утомительно, но работает.
Ответ или решение
Проблема работы клиента OpenVPN в Windows 11: Потеря интернет-соединения
Исходя из описанной проблемы, вы сталкиваетесь с ситуацией, когда клиент OpenVPN на Windows 11 не корректно перенаправляет интернет-трафик через VPN, в то время как на Windows 10 и Linux все работает без сбоев. Причина может крыться в ряде специфических настроек системы и маршрутизации в Windows 11. Давайте рассмотрим возможные решения.
Анализ конфигурационного файла OpenVPN
Конфигурационный файл клиента OpenVPN, который вы используете, выглядит стандартно, однако есть несколько аспектов, на которые стоит обратить внимание:
-
DNS Настройки:
ignore-unknown-option block-outside-dns setenv opt block-outside-dnsЭти параметры предназначены для предотвращения утечки DNS на Windows 10, но в Windows 11 может возникнуть конфликт. Возможно, стоит временно закомментировать их, чтобы проверить, влияет ли это на проблему.
-
Маршрутизация:
Обратите внимание на строку, которая добавляет маршруты:C:\WINDOWS\system32\route.exe ADD [VPN_IP] MASK 255.255.255.255 192.168.1.1Маршрут для VPN-сервера идет через локальный шлюз, что может вызвать конфликты. Убедитесь, что VPN-сервер доступен вне зависимости от маршрута по умолчанию. Попробуйте вручную добавить маршрут через команду:
route add [VPN_IP] mask 255.255.255.255 [ваш_LAN_IP]
Возможные решения
-
Изменение маршрутизации вручную:
- Целевой шлюз: Убедитесь, что все ваши маршруты настроены так, чтобы 10.8.0.1 был основным шлюзом для всего трафика.
- Удалите маршрут клиента VPN, который идет через локальную сеть (если возможно).
-
Измените DNS-серверы:
В ответе на команду PUSH_REPLY указаны DNS-серверы Google (8.8.8.8 и 8.8.4.4), попробуйте изменить их на DNS-серверы OpenDNS, как в предложении других пользователей:push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"Это может решить проблему некорректной защиты DNS-запросов.
-
Проверка сетевого адаптера:
Зайдите в свойства адаптера "TAP-Windows Adapter V9" и убедитесь, что настройки IP, маски подсети, шлюза и DNS совпадают с вашими ожиданиями. Возможно, вам потребуется временно вручную установить эти параметры. -
Роль антивирусов и брандмауэра:
Убедитесь, что после установки всех обновлений на Windows 11, ваш брандмауэр или антивирус не блокируют какой-либо трафик OpenVPN. Проверьте логи и временно отключите эти средства для тестирования. -
Новая версия OpenVPN:
Убедитесь, что у вас последняя версия OpenVPN, так как разработчики могут выпустить патчи для специфичных проблем Windows 11.
Заключение
Основной причиной вашей проблемы может быть либо неправильная маршрутизация, либо специфические системы защиты Windows 11, которые нужно обойти при помощи настроек. Аспекты вроде ручной настройки сетевого адаптера или использования альтернативных DNS вполне логично попробовать. Главное — не забывать проверять влияние каждого шага, чтобы изолировать источник проблемы и не усложнять конфигурацию.