技术点详解—同时访问VPN和互联网
自从VPN系列推出后,许多人询问为何连上VPN后往往就无法访问互联网了,断开VPN才可以继续观看网络视频,聊天等等。本期专栏就来讨论一下这个话题。
一、 连接VPN的前后[图片]在这个例子中,一共有如下信息:
- VPN网关的互联网接入地址6.16.5.6,其连接总部网络网段为10.0.0.0/8,分配给VPN客户端的VPN地址则是10.6.16.0/24,VPN隧道接口地址10.6.16.1;
- VPN客户端1直接连接到互联网,其IP地址是2.17.0.2,互联网网关是2.17.0.1,连接到VPN后,获得的VPN地址是10.6.16.2,对应网关地址为10.6.16.1,即VPN网关隧道接口地址;
- VPN客户端2通过NAT设备连接到互联网,其IP地址192.168.1.2,网关192.168.1.1,连接到VPN后,获得的VPN地址是10.6.16.3,对应网关也是10.6.16.1,也为VPN网关隧道接口地址;
- 互联网上有若干应用,假设是视频与聊天业务。
客户端1、2分别连接到VPN后,发现无法再访问互联网上的任何应用了,只能访问公司网络资源。[图片]这是以VPN客户端2为例,在连接VPN之前是可以访问各个互联网应用的,我们检查此时客户端上的路由表可以发现如下端倪: - 默认路由的出接口是INET,即连接互联网的接口;
- 默认路由的Next-hop是NAT网关,即通过NAT网关访问互联网。
二、 连接到VPN时的客户端路由表信息[图片]连接到VPN后,情况发生了变化: - 出接口不再是只有INET,还多出了VPN接口,我们之前介绍过的L2TP和SSL VPN都会创建VPN虚拟接口,这个VPN隧道接口之所以是虚拟接口,是因为其必须通过互联网接口创建,没有互联网连接,VPN不可能连接;
- 默认路由的出接口是VPN;
- 默认路由的Next-hop则是10.6.16.1,即VPN网关隧道接口地址;
- 不管是访问公司内部网络还是访问互联网都通过默认路由进行转发;
- 客户端访问互联网应用也从客户端与VPN网关之间的隧道转发至VPN网关;
- VPN网关通常至允许VPN客户端访问公司内部网络,并没有为VPN客户端开放访问互联网权限,因此这个访问在VPN网关处被丢弃;
- 为什么默认路由修改了,而VPN连接依然可以保持呢?这是因为客户端上匹配VPN网关6.16.5.6的路由出接口、Next-hop分别是INET和192.168.1.1,也就是说客户端上对VPN网关接入地址网开一面,继续从互联网接口访问。
三、 解决方案[图片]既然已经知道是路由上面的问题,那么解决方案也比较简单: - 将网络应用区分成公司内部网络和互联网两部分,公司内部网络从方案中我们可以得知是10.0.0.0/8,因此只要将公司网络从VPN隧道转发即可;
- 修改默认路由,将其Next-hop修改回原来的192.168.1.1,出接口也随即变成INET;
- 添加公司内部网络路由,使其Next-hop依然保持在10.6.16.1,出接口是VPN。
如此一来,访问公司网络必定匹配10.0.0.0/8这条路由,从VPN隧道接口访问,访问互联网则从INET接口转发。
这是Windows PC上修改此路由的脚本:
C:>route add 10.0.0.0 mask 255.0.0.0 10.6.16.1
C:>route delete 0.0.0.0 mask 0.0.0.0 10.6.16.1
C:>route add 0.0.0.0 mask 0.0.0.0 192.168.1.1
这三条命令的意思分别是: - 添加访问公司网络的路由10.0.0.0/8,next-hop为10.6.16.1,先添加此路由的目的在于避免删除默认路由时,导致访问公司网络中断;
- 删除目前next-hop为10.6.16.1的默认路由,是为了添加next-hop为192.168.1.1的默认路由,之所以要删除是为了避免PC上出现等价路由,影响访问;
- 添加next-hop为NAT网关的默认路由。
需要注意的是,只有在VPN连接已经建立的情况下,VPN客户端才会修改默认路由成只能访问公司网络,因此当客户端连接VPN后,可以使用这3条命令行进行修改。一旦VPN连接中断,那么第一条路由route add 10.0.0.0 mask 255.0.0.0 10.6.16.1会立刻失效,因此当VPN再度连接后,客户端会再次修改路由成无法访问互联网模式,我们还是需要重新执行这3条命令以便同时访问VPN和互联网。