排除VPN连接上后导致无法上网的故障
排除VPN连接上后导致无法上网的故障很多公司都架设了自己的VPN 网络,对公司内移动办公的用户提供接入。但是大多数情况下很多用户发现只要连接上VPN,原本正常的网络浏览、QQ等访问Internet的通讯都被断掉了,而本地局域网的访问(跨网段的)也不行了。
很长时间以来笔者一直以为这个故障是VPN网络的通病,没办法解决。有一次一位外省的朋友到我司公干,他们公司用的是天融信的VPN软件,结果发现他连上后其他网段的访问也都很正常。
笔者很纳闷,于是仔细研究,最终在显示路由表的时候发现了区别(在命令提示符窗口下键入:route print,连上VPN的路由表如图)。
一般的VPN连接上之后,系统会自动加载一条“8个0”的路由条目,将默认网关指向VPN网络的网关,Metric为1。即目的网络:0.0.0.0,掩码:0.0.0.0。代表所有网络地址,也就是说所有目的网络没有在具体路由条目中指明去向,且不在本网段内的通讯都要转发到指定的默认网关去,然后再由网关来择路转发。
而Metric为路由条目的度量值,与优先级成反比。可以看出这时所有非本网段的访问都被转发到VPN网关上,而不是原来的本地网关。原有8个0的默认路由的Metric被改为 2。在路由条目中目的地址相同的情况下,这个度量值越小则相应的优先级越高,这时只有前面那条Metric为1的路由有效,而本地网关失效了,这样访问Internet当然有困难了。
在图中可以看到,第一条Gateway(网关)为172.16.1.1的路由是本地网络的默认路由,Metric被改成2了。而多添加了第二条8个0的默认路由是VPN连接的路由,Metric值为1。这时我们只要对第二条路由做修改,让只有目的为192.168.0.0/24这个网段的包发到VPN的网关上去,而其他访问仍然走本地网关即可。
那么我们要先删除掉第二条路由,命令为:route delete 0.0.0.0 mask 0.0.0.0 192.168.0.3;然后添加一条新的路由条目,命令为:route add 192.168.1.0 mask 255.255.255.0 192.168.0.3。这样原有的本地默认路由将重新起作用,至此故障解决。
注:route命令是用来管理系统路由表的。一个路由条目一般由“目的或目标(Destination)”、“网络掩码(Netmask)”以及“网关(Gateway)”组成。显示路由表的命令是route print;添加一个静态路由命令是route add 目标 掩码 网关。另外,如果不加-p参数,则新建路由不会保存,重启后即消失。删除一个路由条目的命令是“route add 目标 掩码 网关”;改变一个路由的命令为“route change 目标 掩码 网关”。
秋风落叶扫--2006-7-28
原帖由 cracks 于 2006-7-28 17:07 发表
排除VPN连接上后导致无法上网的故障
很多公司都架设了自己的VPN 网络,对公司内移动办公的用户提供接入。但是大多数情况下很多用户发现只要连接上VPN,原本正常的网络浏览、QQ等访问Internet的通讯 ...
http://www.google.com/search?hl=zh-CN&q=%E6%8E%92%E9%99%A4+VPN+%E8%BF%9E%E6%8E%A5+%E6%97%A0%E6%B3%95%E4%B8%8A%E7%BD%91&btnG=Google+%E6%90%9C%E7%B4%A2&lr=
个人觉得还是注明转贴比较合适。
[ 本帖最后由 analyst 于 2006-7-28 19:55 编辑 ] 这么简单的问题,大书特书。。。。
不在VPN的连接上使用默认网关就可以了。原理就是控制路由表,不让默认路由都走VPN,只让VPN网段的地址走VPN,其他的还是走默认路由,原来的什么都不影响。
看看MS的解释吧:
指定连接期间在远程网络上是否使用默认网关。当建立拨号或虚拟专用网络连接时,将在 IP 路由选择表中添加连接到远程访问服务器的新的默认路由,并分配给该路由最低指标。如果已存在默认路由,则它仍保留在路由选择表中但变为较高指标。添加较低跃点数的新默认路由后,使用原来默认路由可到达的位置可能无法到达。
例如,在企业网络上运行此操作系统(或 Windows 2000)的计算机在企业网络上存在 LAN 连接,并以本地 IP 路由器的默认网关配置。如果选中“在远程网络上使用默认网关”选项,则当该计算机上的用户通过 Internet 服务提供商 (ISP) 拨号访问 Internet 时,ISP 将成为默认网关,而不是本地企业路由器。因此企业网络上除本地网的所有位置,在连接到 ISP 期间是不可到达的。如果清除“在远程网络上使用默认网关”选项,则原来默认的路由未被修改,也没有添加新的默认路由,并且 Internet 上的位置是不可到达的。 我用了ROS 后客户机上拨不起 http://www.flashmdy.com/ 这个网站提供的VPN服务
我映射了1723的端口应该没法还有个什么47gre的协议 呵呵,这个我早就发现了,做法也跟LZ一样,删掉自动添加的路由,添加一条VPN网络的路由即可。 原帖由 analyst 于 2006-7-28 19:54 发表
http://www.google.com/search?hl=zh-CN&q=%E6%8E%92%E9%99%A4+VPN+%E8%BF%9E%E6%8E%A5+%E6%97%A0%E6%B3%95%E4%B8%8A%E7%BD%91&btnG=Google+%E6%90%9C%E7%B4%A2&lr=
个人觉得还是注明转贴比 ...
是的,人家做出来的东西要尊重!
做为版主要带好头! 楼主这种做法只能算是其中一种做法,就是VPN线路只能访问内网网段,访问公网改就不走VPN,但如果是用作借线上网或远程VPN代理(也就是一定要通过VPN服务器指向的内网网关上网)就不能用了。
页:
[1]