Пользователи при подключении из дома к корпоративному VPN серверу (будь то AlwaysOnVPN, стандартный VPN сервер на Windows Server RRAS, или OpenVPN) жалуются, что у них не работает доступ в Интернет со своего компьютера при активном VPN подключении. В этой статье мы разберемся, почему пропадает доступ в Интернет в Windows 10 при подключении к VPN и как исправить эту проблему.
При создании нового VPN подключения в Windows (всех версий) в его настройках по-умолчанию включена опция “Использовать основной шлюз удаленной сети” (Use default gateway on remote network). Это означает, что весь трафик с вашего компьютера отправляется через VPN туннель. Если на VPN сервере для удаленных клиентов разрешен доступ только к локальным ресурсам предприятия, и запрещен доступ в Интернет, то у пользователя на компьютере не будут открываться внешние веб-сайты и другие Интернет ресурсы. Соответственно, после отключения от VPN, весь трафик пользователя пойдет через обычную сеть и у него появится Интернет-доступ.
Режим, когда часть трафика (доступ к корпоративным ресурсам) отправляется через VPN туннель, а другая часть (доступ в Интернет) через локальное сетевое подключение называется split tunneling.
В Windows 10 можно включить split tunneling (отключить маршрутизацию Интернет трафика через VPN туннель) тремя способами:
- В настройках параметров TCP/IP VPN подключения;
- С помощью фала rasphone.pbk;
- При помощи PowerShell командлета Set-VpnConnection с параметром SplitTunneling
Самый простой способ – изменить настройки TCP/IP для вашего VPN подключения через Панель управления.
- Откройте список сетевых подключений в Панели управления (Control Panel\Network and Internet\Network Connections) и откройте свойства вашего VPN подключения;
- Перейдите на вкладку Networking, выберите Internet Protocol Version 4 (TCP/IPv4) и нажмите кнопку Properties;
- Нажмите кнопку Advanced;
- Убедитесь, что на вкладке IP Settings включена опция “Use default gateway on remote network’.
После отключения опции “Использовать основной шлюз в удаленной сети” и переподключения к VPN шлюзу на компьютере появится доступ в Интернет через вашего провайдера. Но в некоторых билдах Windows 10 по какой-то причине эта опция теперь не работает (втречались разные проблемы: поле недоступно для редактирования, или настройка не сохраняется, или же не открываются настройки при нажатии на кнопку свойств TCP/IPv4), поэтому нужно рассмотреть и другие способы.
Файл rasphone.pbk находится в каталоге (
C:\ProgramData\Microsoft\Network\Connections\pbk\
) – если вы создали VPN подключение для всех пользователей компьютера, или в каталоге профиля пользователя
C:\Users\username\AppData\Roaming\Microsoft\Network\Connections\Pbk
– если данное VPN подключение доступно только для вашего пользователя.
Откройте файл rasphone.pbk с помощью любого тактового редактора (подойдет даже notepad.exe). В этом файле хранятся параметры всех настроенных VPN подключений. Найдите параметр IpPrioritizeRemote. По умолчанию его значение равно 1. Измените его на 0, сохраните файл rasphone.pbk и перезапустите VPN подключение.
Также вы можете настроить разделение VPN трафика с помощью PowerShell. Выведите список доступных VPN подключений:
Get-VpnConnection
Убедитесь, что опция SplitTunneling для данного подключения отключена (
SplitTunneling: False
).
Чтобы включить SplitTunneling, нужно указать имя вашего VPN подключения:
Set-VpnConnection –name “vpn.winitpro.ru” -SplitTunneling $true
Переподключитесь к своему VPN серверу и проверьте, что у вас на компьютере появился доступ в Интернет и сохранился доступ к корпоративным ресурсам за VPN шлюзом. Включение опции SplitTunneling аналогично отключению (Use default gateway on remote network) в настройка TCP/IPv4 для VPN подключения (после выполнения предыдущей команды галка на этой опции снимается).
При снятии вышеупомянутой галки при подключения vpn соединения не происходит замена адреса шлюза провайдера на корпоративный шлюз для маршрута 0.0.0.0 , то есть весь траффик на узлы подсетей, для которых не назначены статичные маршруты, будет ходить через интернет.
Если адрес корпоративной сети не совпадает с адресом виртуальной подсети vpn клиента (из которой выдан виртуальный ip vpn клиенту), то и этот траффик будет маршрутизироваться в интернет, где его первый маршрутизатор и отбросит (т.к. адрес назначения из частного диапазона), то есть доступа к корпоративной среде не будет. Часто при настройке vpn сервера на корпоративном шлюзе инженеры так и настраивают: отдельная подсеть под виртуальные ip vpn клиентов. Решением является создание дополнительного статичного маршрута в корпоративную подсеть и указанием корпоративного шлюза (виртуальный ip vpn сервера) сразу после успешного vpn соединения.
Если пул выдаваемых виртуальных ip для vpn клиентов инженер всё же настроил в диапазоне физической корпоративной подсети (что редкость для немаленьких сетей), то манипуляции с маршрутами не понадобятся. Так как клиентский пк после vpn соединения будет считать, что корпоративная сеть находится с ним в одном широковещательном домене и, сл-но, маршрутизация в неё производиться не будет. Траффик будет коммутироваться посредством arp-proxy (если инженер его не забыл включить на интерфейсе vpn сервера). Не уверен следует ли на шлюзе кроме включения arp-proxy что-то ещё дополнительно настраивать для коммутации в корпоративную подсеть, по идее коммутатором будет являться физический ethernet интерфейс, в который подключена физическая корпоративная сеть.
проше..в 2х словах..не зя обойтись
Спасибо за статью!
Да, ещё важный нюанс при использовании шлюза по умолчанию в корп сети, само собой весь трафик будет исходить от лица (ip, домен) организации.
Мало того что весь Ютуб итд трафик нагружает шлюз VPN,
Так и если на компьютерах удалещиков есть пиратский софт (типо АКАД, итд)
И телеметрия вся выйдет от лица организации…
Потом правообладатель вышлет претензию на организацию с требованием легализовать софт, которым организация даже и не пользуется.
Я на этом по неопытности очень влип в свое время.
Будьте внимательны!
Мало того, продукты небезызвестной компании на букву А, собирают очень много инфы о ПК,сети, домене,на котором стоят.
Физ-лицу в целом все равно. А юр.лицо рано или поздно получит претензию.
Лучше отключать в любом случае использование шлюза компании при VPN.
Зачем оно надо вообще.
Учитывать трафик домашних ПК что-ли..
OpenVPN хорош тем что не нужно много возиться на клиентском ПК
Сделал все на сервере, порезал туннель по трафику куда надо только и все.
тем кто виртуалку арендовал на вин сервере и хочет ВПн сервер сделать, чтобы под другим ip сидеть , вот ссылка https://habr.com/ru/company/ruvds/blog/505824/ Очень рад, что наткнулся на эту статью…. Уже хотел на дебиане делать.
все намного проще
Выберите меню Chrome > Настройки > Показать дополнительные настройки > Изменить настройки прокси-сервера… > Настройка сети и снимите флажок «Использовать прокси-сервер для локальных подключений».
Увы. Не помог, ни один из выше перечисленных способов.
Интернет появляется на моём ПК (LAN) но пропадает связь с удаленным ПК (VPN)
Аналогичная ситуация. Подскажите, пожалуйста, как решить проблему?
Маршрут прописать )
Что-то типа:
route -p add MASK IF
Сорян
route -p add адрес_сети MASK маска адрес_vpn IF интерфейс
Пробовал, не помогает. route add -p 192.168.0.1 mask 255.255.255.0 192.168.1.0
точнее route -p add всё равно как только снимаешь галочку «использовать основной шлюз в удалённой сети» связь с удалённой сетью теряется.
192.168.0.1 не адрес сети. Если вам нужен доступ только к одному компьютеру (в данном случае 192.168.0.1), то у вас неправильная маска (должно быть 255.255.255.255). Но мне кажется вы хотите доступ ко всей сети. Если диапазон вашей локальной сети от 192.168.0.1 до 192.168.0.244 то пишите route add -p 192.168.0.0 MASK 255.255.255.0 и т.д.
Дальше. У вас в конце написано 192.168.1.0. Вот это уже адрес сети, а должен быть адрес вашего vpn. Я здесь случайно оказался и впервые, не знаю как тут с прикреплением картинок ) Если хотите, можете связаться со мной например в скайпе (ronhulm) и я вам с картинками покажу что должно происходить.
Подключили удаленку через Check point.
1. В окне Дополнительные параметры TCP/IP (созданного Check point-ом сетевого подключения) нет галочки “Использовать основной шлюз в удаленной сети“ (“Use default gateway on remote network’).
2. Никакого файла rasphone.pbk нет (он пустой в другой папке).
3. Команда Get-VpnConnection ничего не выдает.
Не понятно, как это отключить.
А в команде route -p add адрес_сети MASK маска адрес_vpn IF интерфейс не могу понять, какой адрес сети, к которой меня подключили по Check point-у.
Я использую для работы несколько вариантов подключения к интернет. Так вот в одной квартире все работает, через мобильную раздачу все работает, а в другой квартире при подключении к сети интернет отключается. Ноутбук один и тот же. Никаких настроек при подключении не меняю
IP адресация в удаленной VPN сети случаем не пересекается с IP адресами в вашей локалке?
На 100% идентичная ситуация. Тоже checkpoint. Никто не нашел решения?
Настроил VPN, подключаюсь, инет отсутствует. Я хочу чтобы у меня инет проходил через сервер (чтобы я мог обращаться к устройствам в LAN (например использование приложения MS Remote Desktop)), но всё что бы я не пробовал не помогает. Сеть доступная мне ограничивается одним лишь сервером.
Посмотри сначала маршрутизацию:
route print
tracertoute вашхост
Возможно где-то пересекаются подсети (например и в локальной сети и в удаленной используется сеть 192.168.1.x)
Опять же, не понятна конфигурация удаленного vpn сервера, он может быть специально натсроен так, чтобы не пускать никуда кроме него самого.
Возникла такая же проблема, как и у многих: при снятии заветной галочки, интернет возвращается, а связь по VPN пропадает. Решить помогло изменение параметров метрики (там же, где и «Использовать основной шлюз в удалённой сети», чуть ниже). Нужно убрать галочку возле «Автоматическое назначение метрики» и выставить вручную параметр, который меньше, чем у основной сети. Параметр основной сети можно узнать через PowerShell при помощи команды Get-NetIPInterface.
За статью спасибо! Очень полезная.
Спасибо автору.
А то на работе поставили свой ВПН (циско отрубили по санкциям) не зайти было ни в вацап, ни в телегу.
Спасибо 🙏👍 Помог первый пункт, забыл, давно не пользовался)
Предложенные варианты не работают, так как нет таких настроек в win10 в tcp/ip и cisco vpn anyconnect не видится в PS командой Get-VpnConnection 🙁
Красавчик, помогло, конченый Ван сбросил прокси и вместо автоматического подключения галка сбросилась на 0.0.0.0.
При создании впн так же пропал инет на ноуте, впн при этом работал. Убрал ту злосчастную галку «использовать основной шлюз в удаленной сети». После этого инет появился, но отпал впн). Я прописал постоянный маршрут через cmd с указанием интерфейса ВПН-а, узнав его по команде «route print». Синтаксис такой:
«C:\Windows\System32>route add 10.0.0.0 MASK 255.255.0.0 172.20.10.1 IF 47 -p
OK!»
После этого все заработало. В сообщениях выше, похоже, синтаксис написания постоянного маршрута немного неверен..
Добрый день!
Не нашли способа как сделать так чтобы не требовалось прописывать данный шлюз для удаленных компьютеров на которых настроенное впн соединение?
bat файл сделайте для подключения к впн, типа:
rasdial «название вашего впн»
route add «маршрут маска шлюз»
mstsc (запуск рдп)
создайте ярлык к этому батнику и в свойствах ярлыка — галочку с администратором )))
Есть еще вариант с автодобавлением маршрутов при активном VPN (работает только для встроенного VPN клиента Windows):
Add-VpnConnectionRoute -ConnectionName "workVPN" -DestinationPrefix 10.0.0.0/16 –PassThru
https://winitpro.ru/index.php/2021/04/06/dobavlenie-staticheskogo-marshruta-posle-podklyucheniya-k-vpn/