ניתוב תעבורה לאינטרפייס מסוים
-
מעשה באדם שיש לו סינון של נטפרי ברמת ספק, אבל ברגע שמתחבר לFortiClient VPN לצורך עבודה האינטרנט נהיה לא מסונן משום שהדפדפן ניגש לרשת דרך האינטרפייס של הVPN שכמובן מוביל לרשת מרוחקת לא מסוננת.
אני מחפש פתרון לבעיה...
מה שניסיתי:-
להגדיר metric נמוך (1) לאינטרפייס המקורי וגבוה יותר (10) לאינטרפייס של הVPN אבל זה לא מועיל. למה? אולי בגלל שהפורטי מבצע ניתוב?
-
ביצוע ניתוב (route) של טווחי כתובות לא מקומיות לאינטרפייס הרגיל לא מועיל, הבנתי שזה בגלל שהניתוב נמחק בכל פעם על ידי תוכנת FortiClient .
-
קראתי איכנשהו שיש דרך באמצעות כלל בחומת האש של windows לגרום לכך שהדפדפן (קובץ exe נבחר) ייחסם לחלוטין מגישה לרשת כשהאינטפרייס של הפורטי פעיל - לא מצאתי היכן אפשר לעשות זאת.
-
עקרונית יש תוכנה בשם force bind ip או https://github.com/falahati/NetworkAdapterSelector, שיכולה להכריח הרצה של exe נבחר לעבור דרך אינטרפייס מסוים,
מה שאני רוצה זה להגדיר שדפדפן כרום/פיירפוקס יעברו דרך האינטרפייס של הראוטר ולא של הפורטיקליינט, אמממה שמשום מה זה לא עובד, מחיפוש ברשת עולה שזה אפשרי רק בכרום עד גירסה 75-76 ובאמצעות הפעלת flage מסוים (שלא קיים בגירסאות האחרונות של כרום). מעדיף לא לשנמך גירסה לדפדפן. כמו"כ ניסיתי גם כרום גירסה 76 שם יש את הflage הרצוי אבל זה גם לא עזר והתעבורה עדיין נותבה דרך הVPN.
בפיירפוקס - יש שכותבים שזה עובד להם בפיירפוקס בשינוי הגדרה "מתקדמת" מסוימת ל false אבל אצלי זה חוסם את הגלישה לגמרי כאילו משהו באינטרנט משובש (זה חסם לי רק כשהאינטרפייס של הVPN היה L2TP, כשניסיתי עם OPEN VPN זה עבד מעולה, הדפדפן עבר דרך המקורי ושאר התוכנות דרך הVPN, השאלה למה בL2TP זה שונה- או אולי החילוק הוא כלל לא L2TP אלא משהו אחר כמו זה שאין לו gw, עשיתי את הניסויים על נטפרי אניוואר).
אם יש למישהו פתרון לעניין, אשמח לשמוע.
-
-
@shraga אמר בניתוב תעבורה לאינטפרייס מסוים:
קראתי איכנשהו שיש דרך באמצעות כלל בחומת האש של windows לגרום לכך שהדפדפן (קובץ exe נבחר) ייחסם לחלוטין מגישה לרשת כשהאינטפרייס של הפורטי פעיל - לא מצאתי היכן אפשר לעשות זאת.
טוב, מצאתי פתרון חלקי,
באשף של הגדרת new rule בfirewall של windows ב"outbound rules", מגדירים כלל כזה:- הכלל יחול על נתיב של תוכנה ספציפית,
- הפעולה היא "block the connection".
- והחלק החשוב... הכלל יחול רק על פרופיל רשת מסוג domine וpublic (לוודא שהprivate לא מסומן בV).
מה שנשאר כעת זה לוודא שפרופיל הרשת של האינטרפייס של הראוטר (המסונן) מוגדר כ"רשת פרטית" והאינטרפייס של הVPN מוגדר כ"רשת ציבורית" (ניתן לבדוק זאת ב'מרכז הרשת והשיתוף' שם מופיע פרופיל הרשת בצורה ברורה, אפשר גם באמצעות הרצת בpowershell - הפקודה: Get-NetConnectionProfile )
ובמידה ופרופיל הרשת מוגדר לא כמו שאנחנו צריכים, אפשר לשנות את זה:
באמצעות פקודת powershell:
Set-NetConnectionProfile -Name "NetworkName" -NetworkCategory Privateבאמצעות ממשק ההגדרות בwindows 10:
הגדרות > רשת ואינטרנט > מאפייניםבאמצעות עריכת הרג'סטרי:
בנתיב הזה Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles, לבחור את הפרופיל הרצוי לפי הGUID שלו (אפשר לזהות את הרשת הרצויה על ידי שם הפרופיל שמופיע במאפייני כל פרופיל), לשנות את המחרוזת Category, כש0 זה ציבורי, 1 זה פרטי, 2 זה דומיין.לקח לי זמן עד שזה הצליח לעבוד למרות שתמיד עשיתי את אותו סדר פעולות, לא ממש מבין למה, אני חושב שאולי כדאי לשנות את ההגדרה של הרשת לרשת פרטית/ציבורית דרך ההגדרות של windows ולא באופנים האחרים, ואולי גם להפעיל את המחשב מחדש לאחר השינוי בכדי שהוא יחול.
אבל עדיין הייתי מעדיף שיהיה אינטרנט בעת החיבור לVPN רק שיהיה מסונן... שאלתי בעינה עומדת.
עריכה: ראיתי מישהו שמציע להתקין את זה https://github.com/alexkirsz/dispatch-proxy וליצור פרוקסי לאינטרפייס מסוים. ואח"כ לנתב תעבורה של תוכנה מסוימת (הדפדפן) דרך הפרוקסי באמצעות התוכנה הזו https://www.proxifier.com/.
לא הצלחתי לתפעל את התוכנה הראשונה, אם מישהו יכול לעזור, אשמח. -
מזכיר לי שבקורס למנהל רשתות לחרדים שמו סינון מחמיר מדאי שעצבן את הסטודנטים (חסם אתרים מקצועיים). תוך מספר דקות עקפו את החסימה.
-
@shraga זה נראה שכבר עשית חפירה ענקית בנושא אז מה אני יכול להוסיף מגיגול קצר... אבל האם זה לא בדיוק מה שאתה מבקש?
עריכה: הדף שהבאתי למעלה הוא הגדרה בשרת ה-VPN. כנראה שאין לאיש גישה להגדרות אלו. אבל יש משהו בקליינט גם. לא עובד?
עיין עוד: https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/307303/ssl-vpn-split-tunnel-for-remote-user
זה נראה כהגדרה בשרת אבל זה חל פר יוזר. אולי זה מתאים למצב. -
@yossiz אמר בניתוב תעבורה לאינטרפייס מסוים:
אבל יש משהו בקליינט גם. לא עובד?
לא מוצא הגדרות כאלו בקליינט, ואיש המחשבים של העבודה לא מוכן לבצע שינויים אצלו...
בכל מקרה, נראה שנמצא הפתרון, אעדכן. -
@shraga אמר בניתוב תעבורה לאינטרפייס מסוים:
עריכה: ראיתי מישהו שמציע להתקין את זה https://github.com/alexkirsz/dispatch-proxy וליצור פרוקסי לאינטרפייס מסוים. ואח"כ לנתב תעבורה של תוכנה מסוימת (הדפדפן) דרך הפרוקסי באמצעות התוכנה הזו https://www.proxifier.com/.
טוב, הפתרון שמצאתי הוא כזה:
- הגדרת פרוקסי שמתווך לאינטרפייס המקורי (המסונן).
באמצעות Go dispatch proxy (עדיף מהdispatch proxy שהבאתי לעיל, כיון שהוא מגיע כקובץ exe יחיד ולא דורש התקנה של סביבת NodeJS) מגדירים פרוקסי שמתווך לאינטרפייס המקורי (המסונן), זאת על ידי הרצה של הפקודה:
go-dispatch-proxy.exe ipv4_address
כשבמקום ipv4_address כותבים את כתובת הIP של האינטרפייס (אפשר למצוא על ידי הרצה של ipconfig).
מכריחים את chrome לעבור דרך הפרוקסי
על ידי שינוי היעד בקיצורי הדרך שלו בשולחן עבודה ובתפריט התחלה וכדו' בהוספת פרמטר זה:"C:\Program Files\Google\Chrome\Application\chrome.exe" --proxy-server="socks5://127.0.0.1:8080"
בפיירפוקס מגדירים בהגדרות עצמן, 127.0.0.1:8080 עבור socks5 בלבד, כל השאר להשאיר ריק.
- יצירה של קובץ BAT שמבצע את סעיף 1, והגדרה שיעלה בstartup.
זהו.
אמנם במקרה המדובר זה windows 7 ונראה שהGo dispatch proxy לא עובד שם כמו שצריך
- הגדרת פרוקסי שמתווך לאינטרפייס המקורי (המסונן).
-
@shraga אמר בניתוב תעבורה לאינטרפייס מסוים:
הGo dispatch proxy לא עובד שם כמו שצריך
אם כותב שגיאות בקוד
אולי בגלל שאת הגירסאות האחרונות של נוד א"א להתקין על ווינ7, והגירסה הישנה יותר 'לא מבינה' תחבירים חדשים. -
@shraga
לי היה את הבעיה הזו בחיבור openVPN למחשב מרוחק (אני לא כזה מבין בזה עד כמה זה דומה למקרה שלך)
אבל שם הטכנאי הגדיר כמה הגדרות בopenVPN והכל בא על מקומו בשלום
אבל כפי איך שאני מבין ממך ש:@shraga אמר בניתוב תעבורה לאינטרפייס מסוים:
איש המחשבים של העבודה לא מוכן לבצע שינויים אצלו...
השאלה היא עד כמה ולמה..
-
@shraga אמר בניתוב תעבורה לאינטרפייס מסוים:
כשהאינטרפייס
@shraga נראה לי שזה הגדרה בשרת
אי שם בהגדרות השייכות לתצורת השרת כולל DNS
כלומר: צריך להגדיר בשרת ה VPN הגדרה של כל מחשב גולש בפ"ע והגדרת DNS שכל מחשב מתייחס ל DNS שלו בלבד.זה אמור לפתור את הבעיה.
לא מכיר את ה- VPN שלך אבל ב OPENVPN זה שינוי של 3 הגדרות בשרת ה VPN
יכול להיות גם שלאחר השינוי צריך להפעיל מחדש את השרת שהתצורה תכנס לפועל.
לפחות ב OPENVPN אפשר להגדיר שההגדרות יחולו על כל המשתמשים או על קבוצה מסוימת של משתמשים.
במקרה של @אוריי הטכנאי שלו (במקרה שזה אני) זה מה שפתר את הבעיה שלו.
בכל מקרה הבעיה נובעת בגלל שהמחשב מתחבר לרשת נטפרי עם IP מקומי (לא ציבורי) יש סוג של התנגשות של חומרת כרטיס רשת בזמן ההתחברות ולכן הרשת של המחשב המתחבר מתנתקת מרשת נטפרי וגולשת דרך הרשת שהתחברת אליו.
-
בגדול לא נדרש שום הגדרה בצד השרת.
אני לא מכיר את הקונפיג של פורטי, אבל קרוב לוודאי שיש חלק שאחראי על הroutes.
צריך לבטל שם את ההגדרה של remote gateway ולהגדיר ניתוב רק לsubnets הדרושים.ככה עשיתי בopenvpn
אפשרי גם להגדיר בצד השרת איזה הגדרות ניתוב לשלוח לקליינט, אבל הוא יכול לבחור להתעלם מזה. ולהגדיר מה שנצרך עצמאית.
@shraga אמר בניתוב תעבורה לאינטרפייס מסוים:
ביצוע ניתוב (route) של טווחי כתובות לא מקומיות לאינטרפייס הרגיל לא מועיל, הבנתי שזה בגלל שהניתוב נמחק בכל פעם על ידי תוכנת FortiClient .
זה בדיוק מה שאתה צריך לעשות.
פשוט להוסיף את הפלאג -pמהעזרה של route:
" -p When used with the ADD command, makes a route persistent across boots of the system. By default, routes are not preserved when the system is restarted. Ignored for all other commands, which always affect the appropriate persistent routes. "