Windows 7, connessione di rete senza gateway predefinito: un modo per modificare lo stato di "Rete sconosciuta"?


17

Ho un computer con Windows 7 Pro RTM. Questo computer ha due connessioni di rete:

  • Una connessione Wi-Fi a Internet (tramite un router di casa) che funziona perfettamente.
  • Una connessione di rete virtuale OpenVPN. Più precisamente, questa è una connessione Ethernet virtuale che si comporta esattamente come una connessione cablata Ethernet fisica.

Il mio problema è che "Centro connessioni di rete e condivisione" mostra "Rete sconosciuta" per la connessione OpenVPN. Dopo alcune ricerche ho scoperto che le reti logiche (al di fuori di un dominio) sono identificate dall'indirizzo MAC del gateway predefinito della connessione. Il problema è che la connessione OpenVPN non ha un gateway predefinito: è una rete privata, quindi non ne ho bisogno ...

Di conseguenza, la "rete sconosciuta" è sempre considerata pubblica, quindi il firewall è sempre in "modalità pubblica", cosa che non desidero. Inoltre, non posso rinominare "Connessione sconosciuta" o altro (il che ha senso), quindi è un po 'brutto.

Il mio obiettivo è definire una rete logica adeguata per la connessione OpenVPN con il profilo privato. Conosco alcune soluzioni alternative (disabilitare il firewall, modificare i criteri di sicurezza per rendere "private" tutte le reti sconosciute) ma sono comunque soluzioni alternative. Voglio solo che i miei clienti si connettano alla VPN senza dover disabilitare le impostazioni del firewall, senza modificare la configurazione globale con potenziali effetti collaterali (la soluzione "politica di sicurezza") e senza dover guardare una brutta "connessione sconosciuta" nella rete e centro di condivisione.

C'è un modo in cui posso farlo? Ho provato a controllare cosa stava succedendo nel registro (HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ NetworkList è interessante), ma non ho ancora trovato un modo per "forzare" la connessione OpenVPN da assegnare a un logico Rete.

Qualsiasi aiuto sarebbe molto apprezzato.

Una domanda correlata è stata presentata a Superuser: /superuser/37355/windows-7-cant-identify-network/37422


2
Domanda davvero interessante, spero che abbia una risposta.
Massimo,

1
Non ho modo di testarlo nel momento giusto, ma potresti aggiungere anche l'indirizzo IP come gateway, indirizzandolo a se stesso?
Jes,

Buona prova, ma non funziona: Windows non mi consente di impostare l'indirizzo del gateway predefinito sull'indirizzo IP della NIC. Non mostra alcun errore ma quando torno alle proprietà della connessione, il gateway predefinito è ancora vuoto.
Etienne Dechamps,

Jes: dopo una discussione al Superuser, l'ho provato di nuovo (imposta il proprio IP come gateway) e funziona ... fino a quando l'interfaccia non viene disabilitata o il computer non viene riavviato. Quando lo riattivo, il gateway predefinito scompare di nuovo ... qualche idea?
Etienne Dechamps,

Risposte:


4

C'è uno script Powershell qui che sembra fare quello che vuoi.


Rimuovere tutte le funzionalità di consapevolezza della rete dall'interfaccia non era la soluzione che mi aspettavo, ma devo ammettere che fa il trucco. È meglio di niente, immagino. Accetterò la tua risposta, almeno fino a quando ne uscirà una migliore.
Etienne Dechamps,

3
ah, questa è la mia sceneggiatura (da nivot.org)
x0n

9

Voglio solo che i miei clienti si connettano alla VPN senza dover disabilitare le impostazioni del firewall, senza modificare la configurazione globale con potenziali effetti collaterali (la soluzione "politica di sicurezza") e senza dover guardare una brutta "connessione sconosciuta" nella rete e centro di condivisione.

C'è un modo in cui posso farlo?

La soluzione alternativa che utilizziamo è di inviare una route predefinita al client tramite il file di configurazione OpenVPN, ad esempio in questo modo:

# Dummy default gateway to work around Windows 'unidentified network'/'unknown network'
route-metric 512
route 0.0.0.0 0.0.0.0

Sicuramente vuoi assicurarti che la metrica fornita sia superiore alla route predefinita di Internet , altrimenti tutto il traffico verrà instradato attraverso la VPN (il che potrebbe essere desiderabile in casi specifici, ma questo è un altro argomento).

Si noti che giocherellare con la configurazione di rete in generale e il routing in particolare possono avere tutti i tipi di effetti collaterali indesiderati, se eseguiti in modo improprio, ma finché si sa cosa si fa, si dovrebbe essere in grado di giudicare l'impatto:

  • In particolare, la soluzione alternativa fornita di avere due gateway predefiniti in questo modo è considerata almeno semanticamente errata da alcuni almeno e Windows ti avvisa di conseguenza, se lo configuri effettivamente tramite l'interfaccia utente.
  • Vedi Come rendere identificabile e privata una rete non identificata privata? per una discussione su questo argomento, in particolare sulla domanda stessa e sui manifesti (Jason R. Coombs), ragionevoli critiche riguardo al breve riassunto di Steve Hathaways del metodo gateway predefinito in fondo alla pagina.

Detto questo, abbiamo usato questa soluzione con successo per un bel po 'di tempo senza alcun problema.


"route 0.0.0.0 0.0.0.0" non funzionerà. Il gateway predefinito deve essere raggiungibile (ARP) sulla connessione. Sono d'accordo con le altre parti della tua risposta però.
Etienne Dechamps,

1
Oh, di fatto, funziona. Questo perché ho frainteso la sintassi dell'opzione di configurazione OpenVPN "route". Esiste un terzo parametro predefinito che è il gateway VPN, quindi Windows riesce effettivamente a ottenere una risposta ARP "virtuale" da OpenVPN.
Etienne Dechamps,

Devo dire che questa è l'opzione migliore che ho trovato finora. L'hack del registro che consente a Windows di pensare che la rete sia la connessione del computer a un dominio elude del tutto la sicurezza e l'altro suggerimento, aggiungendo un percorso permanente, lascerebbe un percorso senza senso in giro anche quando OpenVPN viene chiuso.
Cygon

1

Per OpenVPN AS (Access Server) potresti voler aggiungere questo alle Impostazioni VPN avanzate nella casella Direttive di configurazione del server :

push "route-metric 512"
push "route 0.0.0.0 0.0.0.0"

Quindi aggiorna il server e, per esempio, Win7 otterrà il gw predefinito sul dispositivo TAP e ti consentirà di cambiare il tipo di rete da Sconosciuto ad altri.

Grazie @ Steffen-Opel per l'informazione! :)


1

Vorrei lasciare il mio contributo. Guarda cosa ha funzionato sul mio caso ... Windows 7 e Windows 8 ...

Trascorro molto tempo con questo problema di conettività in entrata del cliente.

Disabilitare l'interfaccia TAP sul firewall funziona bene, ma è quasi lo stesso di disattivare il firewall nel contesto VPN. Le macchine VPN sono in esecuzione in contesti di sicurezza diversi e alcuni possono influire su altri.

Ho provato la configurazione di "gateway predefinito" che riconosce la rete come "rete di lavoro" (solo in Win7, non su Win8), e tuttavia non ha eseguito il PING!

Aggiungere manualmente un record "* NdisDeviceType" nel registro non ha funzionato su Win8.

Quindi, vedendo consapevolmente la configurazione di Windows Firewall ho visto altre configurazioni dell'ambito piuttosto che solo i profili, quindi ho provato a eseguire un altro servizio anziché PING e quale è stata la mia sorpresa quando ha funzionato correttamente, anche in "Reti non identificate" e "Profilo pubblico"!

Quindi, ho cercato di isolare il problema de PING e la configurazione che lo faceva funzionare era la seguente: La voce Windows Firewall predefinita che abilita al di fuori di PING IPv4 è "Condivisione file e stampanti (richiesta eco - ICMv4-In)", quindi proprietà, ho fatto clic su "Ambito" e in "Indirizzo IP remoto" sono passato da "Sottorete locale" a "Qualsiasi indirizzo IP" e questo ha fatto funzionare PING.


0

Ehi, sono stato in grado di farlo funzionare. Sono andato al Centro connessioni di rete e condivisione, quindi ho fatto clic su "Gruppo home". Dice su quello schermo che non posso unirmi a un gruppo home perché la rete è pubblica. Quindi ho fatto clic sulla domanda "Cos'è un percorso di rete?" e mi permette di cambiare il tipo di rete. Viene visualizzata una schermata in cui viene indicato che Windows non è stato in grado di modificare il tipo di rete, ma cambierà.


-2

Che ne dici di aggiungere un altro Ip del segmento come gateway predefinito? Sebbene non interrogherà o toccherà gli indirizzi esterni, avrà un gateway predefinito che dovrebbe soddisfare Windows. Oppure modifica il tuo DHCP per fornirne uno, in caso contrario.


1
Non capisco davvero. Se do a Windows un gateway predefinito per questa connessione, Windows potrebbe utilizzare la connessione VPN come route predefinita. Significa che Windows utilizzerà la connessione VPN per accedere a Internet ... che ovviamente non voglio (non funzionerebbe, comunque).
Etienne Dechamps,

-3

Prova ad accedere al "Centro connessioni di rete e condivisione" mentre sei connesso alla VPN e dovresti vedere le reti elencate. Sotto ogni rete ci sarà uno stato come "Rete di lavoro" o "Rete di dominio", dovresti essere in grado di fare clic su di essa e cambiare il tipo di rete.

J.Ja


2
Non per reti sconosciute
Mark Henderson
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.