Windows
Mikrotik IKEv2/ipsec + Windows 10 = 不拆分包含路由
我正在部署一個使用帶有證書的 IKEv2+ipsec 的解決方案,以將 roadwarriors 連接到公司網路。Mikrotik CHR 用作入口點。
一切都很快,直到我開始在戴爾筆記型電腦上部署該解決方案。與路由器建立連接後,筆記型電腦不會拆分包含,並且只有 VPN 子網可用。相反,我的管理員電腦是固定工作站,沒有這樣的問題。
Windows 10 接收拆分包括使用 DHCP。經過一番研究,我發現由於某種原因,戴爾提供的 Windows 10 Pro 1909 無法向路由器發送 DHCP 請求。筆記型電腦獲得了它們的地址 DNS,只有拆分包含的路由失去了。此外,DHCP 在 Wi-Fi 適配器上執行良好。
做了什麼:
- 檢查了筆記型電腦和管理員 PC 的路由器日誌。筆記型電腦連接時未找到 DHCP 請求。
- Microtik CHR 嗅探到流量:來自管理員電腦的 DHCP 請求並非來自筆記型電腦。
- 在筆記本上嗅探流量,未檢測到 DHCP 請求。
重新啟動、重置
ip和winsock使用netsh、恢復到舊的 wi-fi 驅動程序、刪除和重新創建 WAN 微型埠、強制 DHCP 進行連接、在筆記型電腦周圍跳舞——所有這些都沒有幫助。目前唯一可行的解決方案是乾淨的 MSDN 版本的 Windows 10 1909 安裝。有了這個,筆記型電腦可以很好地拆分。但是,這對我來說似乎不是一個合理的解決方案。
我的問題是:
- 問題的可能原因是什麼?
- 可以做些什麼來修復它?
問題解決了。原因是邊界路由器配置錯誤。
但是,對於那些遇到同樣問題的人來說,幾乎沒有什麼建議。
- 首先嘗試連接到另一個網際網路來源(我的錯誤是連接到手機,而手機又連接到本地 WiFi,因此路由到同一個路由器)並驗證。
- 如果問題仍然存在,您可以使用
Add-VpnConnectionRoutePowerShell commandlet 手動將路由添加到您的 VPN 連接。這是要使用的方法,route add將添加不依賴於 VPN 連接的路由。- 添加到rasphone.pbk中相關連接部分的路由。
- 一般來說,PowerShell commandlet是創建連接
Add-VpnConnection的Add-VpnConnectionRoute絕佳工具,因為它們幾乎可以實現任何部署方案。- 如果儘管添加了路由,但沒有流量進入隧道,請安裝流量擷取軟體,例如Wireshark並監控 ipsec 流量。由於數據包很可能是加密的,因此您只能看到是否有 ipsec 數據包進出,從而縮小了調試任務的範圍。