排除VPN连接上后导致无法上网的故障

cracks

排除VPN连接上后导致无法上网的故障   
   
   
很多公司都架设了自己的VPN 网络，对公司内移动办公的用户提供接入。但是大多数情况下很多用户发现只要连接上VPN，原本正常的网络浏览、QQ等访问Internet的通讯都被断掉了，而本地局域网的访问(跨网段的)也不行了。   

　　很长时间以来笔者一直以为这个故障是VPN网络的通病，没办法解决。有一次一位外省的朋友到我司公干，他们公司用的是天融信的VPN软件，结果发现他连上后其他网段的访问也都很正常。  

　　笔者很纳闷，于是仔细研究，最终在显示路由表的时候发现了区别(在命令提示符窗口下键入:route print，连上VPN的路由表如图)。  

　　一般的VPN连接上之后，系统会自动加载一条“8个0”的路由条目，将默认网关指向VPN网络的网关，Metric为1。即目的网络:0.0.0.0，掩码:0.0.0.0。代表所有网络地址，也就是说所有目的网络没有在具体路由条目中指明去向，且不在本网段内的通讯都要转发到指定的默认网关去，然后再由网关来择路转发。  

　　而Metric为路由条目的度量值，与优先级成反比。可以看出这时所有非本网段的访问都被转发到VPN网关上，而不是原来的本地网关。原有8个0的默认路由的Metric被改为 2。在路由条目中目的地址相同的情况下，这个度量值越小则相应的优先级越高，这时只有前面那条Metric为1的路由有效，而本地网关失效了，这样访问Internet当然有困难了。  

　　在图中可以看到，第一条Gateway(网关)为172.16.1.1的路由是本地网络的默认路由，Metric被改成2了。而多添加了第二条8个0的默认路由是VPN连接的路由，Metric值为1。这时我们只要对第二条路由做修改，让只有目的为192.168.0.0/24这个网段的包发到VPN的网关上去，而其他访问仍然走本地网关即可。  

　　那么我们要先删除掉第二条路由，命令为:route delete 0.0.0.0 mask 0.0.0.0 192.168.0.3;然后添加一条新的路由条目，命令为:route add 192.168.1.0 mask 255.255.255.0 192.168.0.3。这样原有的本地默认路由将重新起作用，至此故障解决。  

　　注:route命令是用来管理系统路由表的。一个路由条目一般由“目的或目标(Destination)”、“网络掩码(Netmask)”以及“网关(Gateway)”组成。显示路由表的命令是route print;添加一个静态路由命令是route add 目标 掩码 网关。另外，如果不加-p参数，则新建路由不会保存，重启后即消失。删除一个路由条目的命令是“route add 目标 掩码 网关”;改变一个路由的命令为“route change 目标 掩码 网关”。


秋风落叶扫--2006-7-28

analyst

原帖由 cracks 于 2006-7-28 17:07 发表
排除VPN连接上后导致无法上网的故障   
   
   
很多公司都架设了自己的VPN 网络，对公司内移动办公的用户提供接入。但是大多数情况下很多用户发现只要连接上VPN，原本正常的网络浏览、QQ等访问Internet的通讯 ...

http://www.google.com/search?hl= ... 9C%E7%B4%A2&lr=

个人觉得还是注明转贴比较合适。

[ 本帖最后由 analyst 于 2006-7-28 19:55 编辑 ]

popofox

这么简单的问题，大书特书。。。。

不在VPN的连接上使用默认网关就可以了。原理就是控制路由表，不让默认路由都走VPN，只让VPN网段的地址走VPN，其他的还是走默认路由，原来的什么都不影响。

看看MS的解释吧：

   指定连接期间在远程网络上是否使用默认网关。当建立拨号或虚拟专用网络连接时，将在 IP 路由选择表中添加连接到远程访问服务器的新的默认路由，并分配给该路由最低指标。如果已存在默认路由，则它仍保留在路由选择表中但变为较高指标。添加较低跃点数的新默认路由后，使用原来默认路由可到达的位置可能无法到达。
   例如，在企业网络上运行此操作系统（或 Windows 2000）的计算机在企业网络上存在 LAN 连接，并以本地 IP 路由器的默认网关配置。如果选中“在远程网络上使用默认网关”选项，则当该计算机上的用户通过 Internet 服务提供商 (ISP) 拨号访问 Internet 时，ISP 将成为默认网关，而不是本地企业路由器。因此企业网络上除本地网的所有位置，在连接到 ISP 期间是不可到达的。如果清除“在远程网络上使用默认网关”选项，则原来默认的路由未被修改，也没有添加新的默认路由，并且 Internet 上的位置是不可到达的。

sby2000

我用了ROS 后  客户机上拨不起 http://www.flashmdy.com/ 这个网站提供的VPN服务

我映射了1723的端口应该没法  还有个什么47gre的协议

luzai

呵呵，这个我早就发现了，做法也跟LZ一样，删掉自动添加的路由，添加一条VPN网络的路由即可。

netlea

原帖由 analyst 于 2006-7-28 19:54 发表



http://www.google.com/search?hl= ... 9C%E7%B4%A2&lr=

个人觉得还是注明转贴比 ...

是的,人家做出来的东西要尊重!

做为版主要带好头!

maczh

楼主这种做法只能算是其中一种做法，就是VPN线路只能访问内网网段，访问公网改就不走VPN，但如果是用作借线上网或远程VPN代理（也就是一定要通过VPN服务器指向的内网网关上网）就不能用了。