IPSec IKEv2 пропадает интернет на клиентской машинe

Xandir

Добрый день,

Настроил IPSec IKEv2 VPN по этой инструкции: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Подключаюсь с ОС Windows 7.
При подключении пропадает интернет на клиентской машине.

В настройках VPN > IPsec > Mobile Clients > Edit Phase 2
Local Network: LAN subnet

Я не хочу чтобы интернет трафик шёл через VPN. Хочу чтобы через VPN была доступна только локальная сеть организации. Это можно реализовать?

pigbrother

В Windows 7 нет такой настройки?

Если вдруг нет - попробуйте через powershell:
Set-VpnConnection -Name "myVPN" -SplitTunneling $True
https://superuser.com/questions/954801/how-can-i-disable-use-default-gateway-for-remote-networks-setting-in-windows-1
или
go to here: %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk open with text editor and for every Vpn connection listed change IpPrioritizeRemote=1 – change this to 0 to disable

Xandir

Да, есть такая настройка, но если её отключить то удалённая подсеть, в которую я подключаюсь, становится недоступной. Наверное потому что в таблице маршрутизации клиентского ПК ничего неизвестно про эту подсеть.

Если маршрут добавить вручную, то всё начинает работать:
route ADD 10.1.1.0 MASK 255.255.255.0 192.168.32.255

В Windows 7 есть PowerShell но эти команды в нём не срабатывают:
Set-VpnConnection -Name "myVPN" -SplitTunneling $True

Может быть кто-то знает, как заставить VPN на Windows 7 машине работать без костылей?

pigbrother

В Windows 7 есть PowerShell но эти команды в нём не срабатывают:
Set-VpnConnection -Name "myVPN" -SplitTunneling $True
"myVPN" - на имя своего соединения меняли?

Может быть кто-то знает, как заставить VPN на Windows 7 машине работать без костылей?
Я отказался от использования встроенных VPN. Что ни ОС\конкретный компьютер - потенциальные проблемы.

Xandir

@pigbrother:

В Windows 7 есть PowerShell но эти команды в нём не срабатывают:
Set-VpnConnection -Name "myVPN" -SplitTunneling $True
"myVPN" - на имя своего соединения меняли?

Может быть кто-то знает, как заставить VPN на Windows 7 машине работать без костылей?
Я отказался от использования встроенных VPN. Что ни ОС\конкретный компьютер - потенциальные проблемы.

Да, конечно менял. PowerShell ругается на команду Set-VpnConnection говорит что не знает такую.

werter

Доброе.
https://forum.pfsense.org/index.php?topic=127457.0

•  Open a PowerShell window, as administrator.
•  (type ‘powershell’ in the task bar search box. When it finds it, right-click on it and select “Run as Administrator).
•  Enter the below command (or edit it somewhere then just copy/paste it), with the following changes:
•  Replace “VPN_NAME” with whatever you want to call this VPN connection on the client’s computer.
•  Replace “firewall.domain.com” with the address of your VPN server. (LAN IP of your PFSense box, or DNS name of it).

Add-VpnConnection -Name "VPN_NAME" -ServerAddress "firewall.domain.com" –TunnelType IKEv2 -EncryptionLevel Required -AuthenticationMethod EAP -SplitTunneling –AllUserConnection

Keep PowerShell open for the next step.

3. Add VPN Routes

Copy/paste the following into PowerShell, replacing 10.5.0.0/16 with the appropriate remote LAN subnet:

Add-VpnConnectionRoute -ConnectionName "VPN_NAME" -DestinationPrefix 10.5.0.0/16 -PassThru

That will tell Windows to send anything meant for 10.5.* over the VPN.

Т.е. с пом. gui win создавать vpn не надо. Удаляйте созданное ранее и проделайте выше описанное с пом. powershell.

Xandir

@werter:

Доброе.
https://forum.pfsense.org/index.php?topic=127457.0

•  Open a PowerShell window, as administrator.
•  (type ‘powershell’ in the task bar search box. When it finds it, right-click on it and select “Run as Administrator).
•  Enter the below command (or edit it somewhere then just copy/paste it), with the following changes:
•  Replace “VPN_NAME” with whatever you want to call this VPN connection on the client’s computer.
•  Replace “firewall.domain.com” with the address of your VPN server. (LAN IP of your PFSense box, or DNS name of it).

Add-VpnConnection -Name "VPN_NAME" -ServerAddress "firewall.domain.com" –TunnelType IKEv2 -EncryptionLevel Required -AuthenticationMethod EAP -SplitTunneling –AllUserConnection

Keep PowerShell open for the next step.

3. Add VPN Routes

Copy/paste the following into PowerShell, replacing 10.5.0.0/16 with the appropriate remote LAN subnet:

Add-VpnConnectionRoute -ConnectionName "VPN_NAME" -DestinationPrefix 10.5.0.0/16 -PassThru

That will tell Windows to send anything meant for 10.5.* over the VPN.

Т.е. с пом. gui win создавать vpn не надо. Удаляйте созданное ранее и проделайте выше описанное с пом. powershell.

В Windows 7 вышеуказанные PowerShell команды не срабатывают к сожалению. Нужен другой способ.

В настройках VPN подключения есть такая опция: "Отключить добавление маршрута, основанное на классе", эта опция выключена.

На сколько я понимаю, это должно работать так: при установке VPN соединения, роутер должен передать список доступных подсетей клиенту и они автоматически добавятся в маршруты. Но этого не происходит.

На роутере установлены следующие настройки:
Раздел: VPN / IPsec / Mobile Clients
Provide a virtual IP address to clients (вкл)
Provide a list of accessible networks to clients (вкл)

VPN / IPsec / Mobile Clients / Phase 1
Split connections (выключено)

VPN / IPsec / Mobile Clients / Phase 2
Mode: Tunnel IPv4
Local Network: LAN subnet
NAT/BINAT translation: none

На клиентской стороне такие настройки: (прикрепленное изображение)

–-

Если изменить настройку на роутере: VPN / IPsec / Mobile Clients / Phase 1 > Split connections (вкл), клиент перестаёт подключаться к VPN, выдаёт ошибку 809.