У меня есть компьютер под управлением Windows 7 Pro RTM. Этот компьютер имеет два сетевых подключения:
Моя проблема в том, что «Центр управления сетями и общим доступом» показывает «Неизвестная сеть» для соединения OpenVPN. После некоторых исследований я обнаружил, что логические сети (вне домена) идентифицируются по MAC-адресу шлюза по умолчанию для соединения. Проблема в том, что соединение OpenVPN не имеет шлюза по умолчанию: это частная сеть, поэтому он мне не нужен ...
Следовательно, «Неизвестная сеть» всегда считается общедоступной, поэтому брандмауэр всегда находится в «общедоступном режиме», что мне не нужно. Кроме того, я не могу переименовать "Неизвестное соединение" или что-то в этом роде (что имеет смысл), так что это некрасиво.
Моя цель - определить правильную логическую сеть для соединения OpenVPN с частным профилем. Я знаю некоторые обходные пути (отключите брандмауэр, измените политику безопасности, чтобы сделать все неизвестные сети «частными»), но они все еще обходятся. Я просто хочу, чтобы мои клиенты подключались к VPN без отключения настроек брандмауэра, без изменения глобальной конфигурации с потенциальными побочными эффектами (решение «политики безопасности») и без необходимости смотреть на уродливое «Неизвестное соединение» в сети. и центр обмена.
Есть ли способ сделать это? Я попытался проверить, что происходит в реестре (интересен HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ NetworkList), но так и не нашел способа "принудительно" назначить соединение OpenVPN логическому сеть.
Любая помощь будет очень признательна.
Связанный вопрос появился у Superuser: https://superuser.com/questions/37355/windows-7-cant-identify-network/37422
Я просто хочу, чтобы мои клиенты подключались к VPN без отключения настроек брандмауэра, без изменения глобальной конфигурации с потенциальными побочными эффектами (решение «политики безопасности») и без необходимости смотреть на уродливое «Неизвестное соединение» в сети. и центр обмена.
Есть ли способ сделать это?
Обходной путь, который мы используем, - отправить клиенту маршрут по умолчанию через файл конфигурации OpenVPN, например вот так:
# Dummy default gateway to work around Windows 'unidentified network'/'unknown network'
route-metric 512
route 0.0.0.0 0.0.0.0
Вы определенно хотите убедитесь, что указанная метрика выше, чем ваш Интернет-маршрут по умолчанию, иначе весь трафик будет маршрутизироваться через VPN (что может быть желательно в определенных случаях, но это другая тема).
Обратите внимание, что возня с конфигурацией сети в целом и с маршрутизацией в частности может иметь всевозможные нежелательные побочные эффекты, если все сделано неправильно, но пока вы знаете, что делаете, вы сможете оценить влияние:
Тем не менее, мы уже довольно давно успешно использовали этот обходной путь без каких-либо проблем.
Есть скрипт Powershell Вот похоже, что он делает то, что вы хотите.
Для OpenVPN AS (сервера доступа) вы можете добавить это в Расширенные настройки VPN в Директивы конфигурации сервера коробка:
push "route-metric 512"
push "route 0.0.0.0 0.0.0.0"
Затем обновите сервер, и, наконец, Win7 получит gw по умолчанию на устройстве TAP и позволит вам изменить тип сети с неизвестного на другой.
Спасибо @ Steffen-Opel за подсказку! :)
Хочу оставить свой вклад. Посмотрите, что сработало в моем случае ... Windows 7 и Windows 8 ...
Я провожу много времени с этой проблемой входящей связи клиентов.
Отключение интерфейса TAP на брандмауэре работает нормально, но почти то же самое, что и выключение брандмауэра в контексте VPN. Машины VPN работают в разных контекстах безопасности, и некоторые из них могут влиять на другие.
Я попробовал конфигурацию «шлюза по умолчанию», который распознает сеть как «рабочую сеть» (только в Win7, а не в Win8), и, тем не менее, не пинговал!
Вручную добавить в реестр запись «* NdisDeviceType» тоже не получилось на Win8.
Итак, внимательно просмотрев конфигурацию брандмауэра Windows, я увидел другие конфигурации области, а не просто профили, поэтому я попытался запустить другую службу, а не PING, и каково было мое удивление, когда она работала правильно, даже в «Неопознанных сетях» и «Общедоступном профиле»!
Итак, я попытался изолировать проблему PING, и конфигурация, которая заставила ее работать, была следующей: запись брандмауэра Windows по умолчанию, которая разрешает внешний IPv4 PING, это «Общий доступ к файлам и принтерам (эхо-запрос - ICMv4-In)», поэтому в его properties, я нажал на «Область», а в «Удаленный IP-адрес» изменил с «Локальная подсеть» на «Любой IP-адрес», и это заставило PING работать.
Эй, я смог заставить это работать. Я зашел в Центр управления сетями и общим доступом, затем щелкнул «Домашняя группа». На этом экране написано, что я не могу присоединиться к домашней группе, потому что сеть является общедоступной. Затем я нажал на вопрос «Что такое сетевое местоположение?» и это позволяет мне менять тип сети. Появится экран с сообщением, что Windows не удалось изменить тип сети, но он изменится.
Как насчет добавления еще одного IP сегмента в качестве шлюза по умолчанию? Хотя он не будет запрашивать или касаться внешних адресов, у него будет шлюз по умолчанию, который должен удовлетворять требованиям Windows. Или измените свой DHCP, чтобы предоставить его, если это не так.
Попробуйте войти в «Центр управления сетями и общим доступом» при подключении к VPN, и вы должны увидеть перечисленные сети. Под каждой сетью будет статус, такой как «Рабочая сеть» или «Доменная сеть», вы должны иметь возможность щелкнуть по нему и изменить тип сети.
J.Ja