Вопрос или проблема
После подключения к Cisco VPN AnyConnect у меня теперь два сетевых интерфейса с одинаковыми маршрутами по умолчанию, но с разными значениями метрики. Даже после того, как я вручную изменил/повысил значение метрики одного маршрута по умолчанию (т. е. установленного VPN с значения 2 на 1000), чтобы отдать предпочтение моему маршруту по умолчанию (значение метрики 26), он все равно предпочитает VPN (вместо повышения значения метрики маршрута VPN с 2 до 1000, как вы можете видеть в выводе route print).
Вот мой вывод route print:
route print
===========================================================================
Interface List
10...90 4c e5 58 9f 09 ......Atheros AR9285 802.11b/g/n WiFi Adapter
20...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual M
niport Adapter for Windows
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 26
0.0.0.0 0.0.0.0 10.0.0.1 10.1.105.2 1000
10.0.0.0 255.0.0.0 On-link 10.1.105.2 1255
10.1.105.2 255.255.255.255 On-link 10.1.105.2 1255
10.255.255.255 255.255.255.255 On-link 10.1.105.2 1255
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
164.100.28.5 255.255.255.255 192.168.1.1 192.168.1.2 26
164.100.176.115 255.255.255.255 192.168.1.1 192.168.1.2 26
192.168.1.0 255.255.255.0 On-link 192.168.1.2 281
192.168.1.1 255.255.255.255 On-link 192.168.1.2 26
192.168.1.2 255.255.255.255 On-link 192.168.1.2 281
192.168.1.255 255.255.255.255 On-link 192.168.1.2 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.2 281
224.0.0.0 240.0.0.0 On-link 10.1.105.2 1255
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.2 281
255.255.255.255 255.255.255.255 On-link 10.1.105.2 1255
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.0.0.1 999
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
23 58 ::/0 On-link
1 306 ::1/128 On-link
23 306 2001:0:9d38:6abd:348b:29cb:f5fe:96fd/128
On-link
23 306 fe80::348b:29cb:f5fe:96fd/128
On-link
1 306 ff00::/8 On-link
23 306 ff00::/8 On-link
===========================================================================
Persistent Routes:
NoneЯ сомневался в этом блоке записи Persistent route, который присутствует в выводе выше:
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.0.0.1 999Но после выполнения следующей команды на удаление маршрута:
route delete 0.0.0.0 mask 0.0.0.0 192.168.1.1Теперь запись Persistent route исчезла, выводится как None.
Как видите, даже когда метрика 26, что намного меньше чем 1000, он все равно следует маршруту с метрикой 1000. Что происходит?
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 26
0.0.0.0 0.0.0.0 10.0.0.1 10.1.105.2 1000 Даже я проделал следующее:
В настройках адаптера (Панель управления\Сеть и Интернет\Сетевые подключения) в Дополнительных настройках изменил порядок подключений, чтобы мой приоритет соединения был первым в списке над Cisco AnyConnect VPN.
Все еще при выполнении tracert google.com мой трафик идет через VPN.
Где концепция предпочтения сети с меньшей стоимостью?
Может кто-то объяснить мне, что происходит?
Если кто-то хочет сказать, что Cisco AnyConnect Client здесь действует за кулисами,
Неужели я больше не могу доверять выводу route print?
Неужели я больше не могу доверять концепции предпочтения меньшего значения метрики над более высоким?
пожалуйста, я хочу прояснить свои сомнения.
Это, скорее всего, связано с тем, что конфигурации на устройстве Cisco VPN, к которому вы подключаетесь, не позволяют использовать разделенный туннель. Когда вы отключаетесь от VPN, трафик, вероятно, использует ваше соединение. Когда вы подключаетесь к VPN через клиент Cisco AnyConnect, он получает указания от устройства Cisco VPN не разрешать разделенный туннель, т. е. разрешать трафик поступать на это устройство только через туннель, и мы будем маршрутизировать его отсюда, так что любой трафик за пределами этой удаленной сети маршрутируется и подчиняется той же безопасности, как если бы вы физически находились в пределах сети. Это всего лишь предположение, я не знаком с настройкой VPN-устройства, к которому вы подключаетесь.
Ответ или решение
Чтобы понять, почему ваш трафик продолжает направляться через VPN, несмотря на ручное изменение метрик маршрута, обратимся к работе Cisco AnyConnect и принципам маршрутизации в Windows.
Когда вы подключаетесь к Cisco VPN AnyConnect, клиент VPN может изменять сетевые настройки вашего устройства, в том числе добавлять или изменять маршруты на уровне системы. Это чаще всего используется для централизованного управления трафиком и обеспечения безопасности, позволяя всему сетевому трафику проходить через VPN, даже если это требует использования более высокого значения метрики.
Ситуация, с которой вы сталкиваетесь, вероятно, связана с отсутствием "сплит-туннелинга". Это означает, что весь интернет-трафик принудительно направляется через VPN, отказывая в доступе к внешним интерфейсам вне этой виртуальной сети. Причиной этого может быть настройка, установленная администратором сети на сервере Cisco, к которому вы подключаетесь. Эти настройки гарантируют, что трафик, как внутренний, так и внешний, проходит через централизованный сервер, и администраторы могут контролировать и защищать данные.
Хотя вы изменили метрику маршрута, необходимость использования трафика через VPN может быть заложена в политиках безопасности вашей организации или настроена специально в клиенте Cisco AnyConnect для обеспечения высокой степени безопасности. Важно отметить, что даже если в вашей таблице маршрутизации отображаются предпочтительные маршруты, VPN может переопределять их на уровне драйвера.
Если вы хотели бы обойти эти ограничения, лучшим решением будет связаться с вашим ИТ-администратором или сетевым администратором. Они смогут подтвердить, применяются ли политики управления трафиком вендором VPN и, возможно, предложить возможности для настройки сплит-туннелинга, если это допустимо политиками вашей организации.
SEO Elements:
- Cisco AnyConnect и маршрутизация в Windows — важные ключевые фразы для лучшей видимости статьи в поисковых системах.
- Отсутствие сплит-туннелинга — более детальное раскрытие проблем, которые могут возникнуть при подключении через VPN.
- Настройки безопасности сети — обычная тема, интересующая профессионалов в области ИТ и аудиторию, интересующуюся сетевой безопасностью.
Этот ответ базируется на вашем описании проблемы и общем принципе работы VPN-клиентов; рекомендуется дополнительно проконсультироваться у управляющих инфраструктурой ИТ-администраторов вашей организации для более точного решения проблемы.