По умолчанию у клиента Windows vpn это отмечено в расширенных настройках TCP / IP: Использовать шлюз по умолчанию в удаленной сети ...
Я не хочу использовать удаленный шлюз по умолчанию ... (клиентский доступ в Интернет использует сеть компании, когда это так) как я могу настроить сервер RRAS win 2008, чтобы не выдавать этот шлюз, или отключить его? Могу ли я создать специальную область dhcp (без определенного шлюза) и привязать к ней входящие соединения pptp? есть ли другие методы? - ничего не делая с клиентом ... Я хочу просто оставить это отмеченным -
Спасибо!
К сожалению, настройки, которые вы хотите изменить, действуют только на стороне клиента. В отличие, скажем, от OpenVPN, где вы «проталкиваете» информацию о конфигурации от сервера VPN к клиенту, в клиенте Microsoft VPN параметр «Использовать шлюз по умолчанию в удаленной сети» устанавливается только на стороне клиента.
В Комплект администрирования диспетчера подключений (CMAK) позволит вам создать EXE-файл, который можно запускать на клиентах, чтобы настроить VPN-соединение со всеми необходимыми параметрами.
Некоторое разочарование может возникнуть из-за неудачного метода, с помощью которого клиент получает маршрут к удаленной сети. Когда параметр «Использовать шлюз по умолчанию в удаленной сети» отключен, клиент получает маршрут к удаленной сети на основе «классового» IP-адреса VPN-сервера (это изменение в Windows 7, но у меня нет сведений о изменение удобно). Если вы просто подключаете VPN к небольшой сети «/ 24» с номером «192.168.x.x», тогда это сработает.
Однако, если у вас более сложная топология, это подойдет вам. Предполагается, что CMAK даст вам возможность запустить сценарий на клиенте после того, как подключится VPN, и изменить таблицу маршрутизации клиента, но я никогда не получал эту функциональность для работы на клиентских компьютерах под управлением Windows XP SP2. Я хотел бы получить известие от кого-нибудь, кто это сделал.
AFAIK, соединение должно иметь шлюз, иначе он не может отправлять трафик через этот интерфейс на что-либо, кроме VPN-сервера на другом конце.
Кроме того, AFAIK нет никакого способа обойти это, кроме как вручную отключить соединение (даже сценарий PowerShell не принесет никакой пользы, даже если он имеет функциональность, слишком много неизвестных переменных в обнаружении соединения).
Стоит отметить, что без этого открытия разрешение имен также не будет работать, если в вашем локальном DNS нет IP-адресов VPN.
Но я чувствую твою боль.
Причина, по которой он включен по умолчанию, заключается в том, что это наиболее безопасный вариант. Ваш клиент может представлять угрозу безопасности, если он будет взломан из Интернета, может быть не так много средств для защиты вашей сети ...
http://www.isaserver.org/tutorials/VPN_Client_Security_Issues.html
Я блокирую такой трафик с помощью роутера сайта. Сначала назначьте статический пул IP-адресов серверу VPN PPTP, затем в маршрутизаторе заблокируйте весь исходящий трафик с исходным IP-адресом в этом пуле IP-адресов.