Использовать основной шлюз в удаленной сети

В  Windows 10 был баг, который не позволял снять чекбокс  Использовать основной шлюз в удаленной сети в VPN, а именно кнопка Свойства есть, она активна, но при щелчке на ней — ничего не происходит...

Лечилось через скрипт в командной строке:

powershell
Set-VpnConnection -Name "Название VPN подключения" -SplitTunneling 1

Эта заметка была написано давненько. Тогда она могла кому-то помочь, сейчас уже неактуальна. К тому же тут всего пару предложений текста. Основной вывод, что кроме стандартного графического интерфейса Windows полезно пользовать Powershell.

Но что самое интересное, заходы на эту страничку из поисковиков есть. Поэтому решил не удалять её, а наоборот расширить.

Для чего вообще этот чекбокс нужен?


Split Tunneling

Когда VPN соединение установлено, то есть две возможности, первая:

  • Использовать шлюз по умолчанию на своём (локальном) компьютере

Такой режим называется Split Tunneling (split — расщеплять, разделять). Трафик тут делится на две части. Этот режим более интересный и сложный. В случае Split Tunneling в VPN туннель будет уходить только предназначенный ему трафик.

Остальной трафик ходит как и раньше мимо туннеля, через домашнего провайдера интернета. Если за VPN туннелем есть ещё подсети, кроме подсети самого туннеля, то они окажутся недоступными с локального компьютера.

Чтобы эти подсети были доступны, нужно на локальном компьютере руками прописывать дополнительные маршруты. Эти маршруты будут указывать, что пакеты для данных подсетей должны быть смаршрутизированы в туннель. В этом минус.

На самом деле, маршруты могут прилетать вместе с другими настройками при установлении туннеля. И вариантов развёртывания самого туннеля тут множество, но в самом простом случае будет как подсветил выше.

Плюс в том, что туннель никак не повлияет на остальной трафик с локального компьютера. Будет работать интернет и будут доступны удалённые сетевые ресурсы, которые были доступны до подключения туннеля.


Force Tunneling

Вторая возможность это:

  • Использовать шлюз в удалённой сети

Такой режим называется Force Tunneling и он более простой. При этом методе подключения бОльшая часть пакетов будет отправляться в туннель. Не через туннель отправляются только пакеты в локальной сети компьютера.

Соответственно все сетевые ресурсы (кроме локальных) отвалятся (или опять прописывать маршруты, теперь уже для них). Здесь уже точно прописывать, настройками туннеля тут не скорректировать.

Если на удалённом VPN шлюзе нет интернета для компьютеров подключенных через туннель, то на локальном компьютере отвалится и интернет. Такая ситуация может быть из-за разных причин: отсутствие нужной настройки или неправильная настройка со стороны VPN шлюза, сознательный запрет.

Если на удалённом шлюзе все же настроен интернет для компьютеров из туннеля, то выход в интернет на локальном компьютере будет работать полностью через туннель. Это минус.

Плюс: все подсети за удалённым VPN шлюзом, которые доступны с этого VPN шлюза, доступны и на локальном компьютере.

Какой метод выбрать.. кому как проще и удобнее. Тут надо сказать: сразу после создания VPN туннеля чекбокс Использовать шлюз в удалённой сети отмечен. То есть будет работать по второму варианту.

Отдельным интересным моментом остаётся работа DNS уже после того как туннель был инициализирован и поднялся. Возможно как-нибудь расскажу и про это.


Пример

Чтобы было понятнее поясню на примере. Максимально подробно, максимально простым языком.

Допустим, есть домашняя сеть: компьютер 192.168.0.2, роутер 192.168.0.1, SmartTV 192.168.0.3 и NAS с фильмами 192.168.0.4. И ещё есть ресурс от провайдера интернета (к примеру, FTP с фильмами, играми и программами) с адресом 212.15.X.X. Но доступ к этому ресурсу открыт только из сети провайдера, а из интернета закрыт.

Подсоединение VPN происходит на какой-то интернет адрес, к примеру 185.82.X.X. После установки VPN соединения локальный компьютер получает адрес, связанный с туннелем 172.16.1.2, а удалённый шлюз в туннеле имеет адрес 172.16.1.1. Здесь подсеть 172.16.1.X как раз и есть подсеть самого туннеля.

Предположим что за подсетью 172.16.1.X есть ещё сеть 10.X.X.X, на 172.16.1.1 существует маршрут в эту сеть.

Соответственно при первом варианте Split Tunneling в удалённой сети будут доступны только адреса 172.16.1.X, при этом все адреса локальной сети 192.168.0.X так же доступны. Будет доступен и FTP-сервер провайдера. Будет работать интернет с той скоростью, какая заявлена домашним провайдером, например 200Mbit.

При втором варианте Force Tunneling будут доступны удалённые адреса и 172.16.1.X, и 10.X.X.X. Локальные адреса 192.168.0.X доступны, но вот провайдерский FTP отвалится и интернет заработает со скоростью всего 20Mbit. Почему? Потому что такая скорость интернета подключена для 185.82.X.X.


Как набросить маршрут?

Допустим, хотим подключаться по первому варианту, но чтобы сеть 10.X.X.X была доступна. Надо запустить cmd.exe, выбрать Запуск от Администратора.

Использовать основной шлюз в удаленной сети

Затем вбить команду:

C:WINDOWSsystem32>route add 10.0.0.0 mask 255.0.0.0 172.16.1.1 -p
ОК

Первый параметр 10.0.0.0 это сеть назначения, второй 255.0.0.0 маска подсети, третий 172.16.1.1 шлюз в удалённую сеть. Если есть трудности с подсетями и масками, то вот статья. Параметр -p укажет компьютеру, что маршрут постоянный и его надо сохранить после перезагрузки. Удалить маршрут:

C:WINDOWSsystem32>route delete 10.0.0.0
ОК

Как до этого чекбокса добраться?

Возвращаемся к чекбоксу. Предположим что VPN туннель уже создан. Тогда идем: Панель управления (просмотр: Категория) - Сеть и интернет

Центр управления сетями и общим доступом - Изменение параметров адаптера. Откроется страница с адаптерами на локальном компьютере. Ищем там наш VPN, нажимаем на нём правой кнопкой, выбираем Свойства

Переходим на закладку Сеть - IP версии 4 (TCP/IPv4) - Свойства

Использовать основной шлюз в удаленной сети

Там нажимаем кнопку Дополнительно. Открывается новое окошко и (Ура!) наш чекбокс. У меня он, как видите, отмечен, потому что когда я играю в Q3 на удалённом серваке, мне не нужны ни сетевые ресурсы, ни сёрф в интернете.

Использовать основной шлюз в удаленной сети

Если нужна инструкция как создать VPN подключение в Windows 10, то вот ссылка на сайт Microsoft.

4 мысли о “Использовать основной шлюз в удаленной сети”

  1. сайты открываюся и пингуются так как в настройках клиента я снял галку использовать основной шлюз в удаленной сети и как я понимаю интернеты берутся с usb-модема

    1. Ну не так давно MS выпустила новый билд 10586, который накатился обновлением и теперь указанная галка нормально снимается и ставится обратно, то есть работает.

Добавить комментарий