Nefunkční připojení k internetu po navázání VPN spojení
V praxi se občas objeví problém, jehož řešení se na první pohled těžko hledá. Jedním z nich může být i následující situace.
Situace
Představte si, že se z pracovního notebooku připojujete pomocí VPN do firemní sítě. Náváže se spojení, vy se autentizujete patřičnými přihlašovacími údaji a VPN kanál vám poskytne připojení k firemní lokální síti. V tento okamžik ovšem může nastat menší komplikace. Zjistíte totiž, že po úspěšném navázání VPN spojení sice funguje připojení k firemní síti skrz VPN, ale nefunguje připojení k internetu. Čím to je způsobené?
Windows totiž po úspěšném sestavení VPN upraví svou routovací tabulku tak, že default route nastaví na bránu vašeho VPN spojení. Veškerý provoz je tedy nasměrován do VPN tunelu a nikoliv na bránu vašeho aktuálního připojení k internetu.
Routovací tabulka
Routovací tabulka obsahuje informace o dosažitelných sítích a bránách, přes které je možné se do těchto sítí dostat. Systém pak na základě těchto údajů snadno zjistí přes kterou bránu má pakety poslat, aby dorazili do cílové destinace. Pokud nenajde pro danou cílovou síť žádný záznam, nezahodí dané pakety, ale pošle je přes default route. Default route je v routovací tabulce zaznamenána jako IP sít 0.0.0.0 s maskou podsítě 0.0.0.0. Výchozí brána pak říká, kam poslat pakety, pro jejichž cílovou destinaci není v routovací tabulce specifičtější záznam.
Výpis aktuální routovací tabulky provedete spuštěním příkazového řádku a zadáním následujícího příkazu.
route print
Přesunete-li se do sekce IPv4 Route Table, zde jsou záznamy pro IP protokol verze 4, který vás bude nejpíše zajímat. Network Destination udává cílovou síť, netmask pak masku podsítě a gateway značí bránu přes kterou je možné se do této sítě dostat. Interface specifikuje IP adresu vašeho síťového připojení. Pokud je v tabulce více záznamů pro stejnou síť se stejnou maskou podsítě, rozhoduje o výběru metrika. Nižší metrika záznamu znamená, že bude zvolen právě tento.
Vaše připojení k internetu používá například bránu 10.0.0.1. Odpovídající záznam pro default routu v routovací tabulce bude vypadat takto.
Network: 0.0.0.0 Subnet mask: 0.0.0.0 Gateway: 10.0.0.1 Metric: 50
Jak jsme zmínili po úspěšném navázání VPN se tabulka upraví a přidá se defaultní routa s nižší metrikou než byla ta stávající. Nová routa tedy bude mít vyší preferenci a bude vždy vybrána. Naopak původní záznam se nepoužije, protože má vyšší metriku. Tabulka bude po připojení k VPN vypadat například takto. Adresa 192.168.1.1 je brána do vaší firemní sítě.
Network: 0.0.0.0 Subnet mask: 0.0.0.0 Gateway: 10.0.0.1 Metric: 50
Network: 0.0.0.0 Subnet mask: 0.0.0.0 Gateway: 192.168.1.1 Metric: 12
Pokud nyní zkusíte navštívit vás oblíbený internetový portál, stránka se nenačte. Připojení k internetu v tuto chvíli nefunguje. Provoz totiž bude poslán přes VPN do firmy, kde patrně také skončí, není-li to ošetřeno jinak.
Řešení
Abyste mohli pracovat s firemními daty přes VPN a zároveň mohli využívat připojení k internetu, musíte upravit záznam ve vaší routovací tabulce. Do příkazového řádku napište následující příkaz.
route change 0.0.0.0 mask 0.0.0.0 10.0.0.1 metric 1
Přičemž IP adresu 10.0.0.1 v příkazu změňte na adresu výchozí brány vaší síťové karty směřující do internetu. Tím systému řeknete, že pakety odesílané do sítí, které nemají v routovací tabulce svůj záznam, budou odesílány na internet přes vašeho poskytovatele internetu. Připojení do VPN bude zároveň také fungovat, protože pro síť, kterou používá, se při úspěšném sestavení VPN v tabulce automaticky vytvořil specifický záznam. Tabulka po zadání výše uvedeného příkazu bude obsahovat pouze jednu default routu směřující právě vašeho poskytovatele internetu.
Poznámka: Pokud je vaše firemní síť složena z více podsítí a do všech potřebujete mít přístup, tento postup nebude vhodný. Po zásahu totiž zůstane aktivní jen spojení do sítě, do níž jste přes VPN přímo připojeni. Ve všech ostatních případech, ale můžete tento návod využít.