Вы не можете подключиться к Интернету после подключения к VPN-серверу

В этой статье устраняется проблема, которую нельзя подключить к Интернету после входа на сервер, на который запущена маршрутная и удаленная связь с помощью VPN.

Оригинальная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 317025

Симптомы

После использования VPN-подключения для входа на сервер, на который запущен маршрутиз и удаленный доступ, подключение к Интернету может быть невозможно.

Причина

Эта проблема может возникнуть при настройке VPN-подключения для использования шлюза по умолчанию в удаленной сети. Этот параметр переопределяет параметры шлюза по умолчанию, которые указаны в параметрах Протокола управления передачей и протокола Интернета (TCP/IP).

Решение

Чтобы устранить эту проблему, настройте клиентские компьютеры на использование параметра шлюза по умолчанию в локальной сети для интернет-трафика и статического маршрута в удаленной сети для трафика на основе VPN.

Так как существует несколько версий Windows, следующие действия могут быть разными на вашем компьютере. Если они есть, см. документацию по продуктам для выполнения этих действий.

Шаг 1. Настройка сервера, на который запущен маршрут и удаленный доступ, для использования пула статических IP-адресов

Windows 2000 Server

Выберите Пуск, указать на программы, указать на административные средства, а затем выбрать маршрутику и удаленный доступ.

Щелкните правой кнопкой мыши сервер, на который запущен маршрут и удаленный доступ, а затем выберите Свойства .

Выберите вкладку IP, выберите пул статических адресов и выберите Добавить.

Введите начало диапазона адресов Протокола Интернета (IP) в поле Начните IP-адрес, введите конец диапазона IP-адресов в поле Конечный IP-адрес, а затем выберите ОК.

Настройка пула статических IP-адресов в другом сетевом сегменте, чем сетевой сегмент, на котором существует внутренняя локализованная сеть (LAN).

Выберите поле Включить маршрутику IP, если оно еще не выбрано.

Нажмите кнопку ОК.

Включить переададку TCP/IP.

Windows NT Server 4.0

Выберите Начните, укайте параметры, выберите панель управления, а затем дважды щелкните Сеть.

Выберите вкладку Services, выберите службу удаленного доступа в списке сетевых служб и выберите Свойства.

Выберите Сеть, выберите поле TCP/IP, если оно еще не выбрано. А затем выберите Настройка рядом с TCP/IP.

Выберите Пул статических адресов.

Введите начало диапазона IP-адресов в поле Начните, введите конец диапазона IP-адресов в поле End.

Настройка пула статических IP-адресов в другом сетевом сегменте, чем сетевой сегмент, на котором существует внутренний lan-адрес.

Чтобы исключить диапазон IP-адресов из пула статических адресов, введите начальный IP-адрес диапазона, который необходимо исключить в поле From, введите конец IP-адреса диапазона, который необходимо исключить в поле To, а затем выберите Добавить.

Выберите ОК, выберите ОК, а затем выберите Продолжить.

Выберите вкладку Протоколы, выберите свойства TCP/IP Protocol. > Выберите вкладку Маршрутная маршрутия, а затем выберите поле Включить ip Forwarding, если она еще не выбрана.

Выберите ОК, а затем выберите Закрыть.

Выберите Да для перезапуска компьютера.

Шаг 2. Настройка свойств vpn-клиента TCP/IP

Отключение шлюза по умолчанию в параметре удаленной сети в элементе подключения к VPN на клиентской компьютере:

1. Дважды щелкните «Мой компьютер», а затем выберите ссылку «Подключение к сети» и «Подключение к сети».
2. Щелкните правой кнопкой мыши ПОДКЛЮЧЕНИЕ VPN, которое необходимо изменить, а затем выберите Свойства.
3. Выберите вкладку Networking, выберите Протокол Интернета (TCP/IP) в проверенных компонентах, используемых в этом списке подключения, а затем выберите Свойства.
4. Выберите Расширенный, а затем удаляйте шлюз Use по умолчанию на удаленном сетевом чековом окне.
5. Выберите ОК,выберите ОК, а затем выберите ОК.

Шаг 3. Подключение к серверу, на который запущен маршрут и удаленный доступ

На клиентном компьютере подключись к Интернету, а затем создадим VPN-подключение к серверу, на который запущен маршрутинг и удаленный доступ.

Невозможно подключиться к ресурсам удаленной сети, так как в конфигурации VPN TCP/IP вы отключили шлюз Use Default в настройках удаленной сети.

Шаг 4. Добавление статического маршрута в клиент

Добавьте статический маршрут на клиентский компьютер, использующий следующую конфигурацию:

• Удаленная сеть — это пункт назначения.
• Правильная маска подсети используется для удаленной сети.
• Первый IP-адрес из статического пула IP-адресов, который вы настроили в шаге 1: Настройте сервер, на который запущен маршрут и удаленный доступ, чтобы использовать статичный раздел пула IP-адресов этой статьи, является шлюзом.

Сервер маршрутивки и удаленного доступа назначает этот первый IP-адрес водителю минипорта широкой сети (WAN).

Например, чтобы добавить статический маршрут в сеть с IP-адресом 192.168.10.0, подсетевая маска 255.255.255.0 и шлюз (первый IP-адрес диапазона, присвоенный пулу статических IP-адресов) 192.168.1.1, запустите следующую команду:

Если вы используете переключатель -p с Windows 2000 или Windows NT 4.0, маршрут будет настойчивым. Используйте этот переключатель, чтобы обеспечить сохранение записи маршрутов при перезапуске компьютера.

Этот переключатель не поддерживается на компьютерах -p Microsoft Windows Millennium Edition, Microsoft Windows 98 или Microsoft Windows 95.

Обходной путь

Чтобы решить эту проблему, создайте пакетный файл, содержащий необходимую команду добавления маршрута. Затем настройте его для запуска каждый раз, когда клиент подключается к VPN-серверу.

You can’t connect to the Internet after you connect to a VPN server

This article fixes an issue that you can’t connect to the Internet after you log on to a server that’s running Routing and Remote Access by using VPN.

Original product version: В Windows Server 2012 R2
Original KB number: В 317025

Symptoms

After you use a VPN connection to log on to a server that is running Routing and Remote Access, you may be unable to connect to the Internet.

Cause

This issue may occur if you configure the VPN connection to use the default gateway on the remote network. This setting overrides the default gateway settings that you specify in the Transmission Control Protocol/Internet Protocol (TCP/IP) settings.

Resolution

To resolve this issue, configure the client computers to use the default gateway setting on the local network for Internet traffic and a static route on the remote network for VPN-based traffic.

Because there are several versions of Windows, the following steps may be different on your computer. If they are, see your product documentation to complete these steps.

Step 1: Configure the server that’s running Routing and Remote Access to use a static IP address pool

Windows 2000 Server

Select Start, point to Programs, point to Administrative Tools, and then select Routing and Remote Access.

Right-click the server that is running Routing and Remote Access, and then select Properties.

Select the IP tab, select Static address pool, and then select Add.

Type the start of the Internet Protocol (IP) address range in the Start IP address box, type the end of the IP address range in the End IP address box, and then select OK.

Configure a pool of static IP addresses on a different network segment than the network segment on which the internal local area network (LAN) exists.

Select the Enable IP routing check box if it isn’t already selected.

Select OK.

Enable TCP/IP forwarding.

Windows NT Server 4.0

Select Start, point to Settings, select Control Panel, and then double-click Network.

Select the Services tab, select Remote Access Service in the Network Services list, and then select Properties.

Select Network, select the TCP/IP check box if it isn’t already selected. And then select Configure next to TCP/IP.

Select Use static address pool.

Type the start of the IP address range in the Begin box, type the end of the IP address range in the End box.

Configure a pool of static IP addresses on a different network segment than the network segment on which the internal LAN exists.

To exclude a range of IP addresses from the static address pool, type the starting IP address of the range that you want to exclude in the From box, type the ending IP address of the range that you want to exclude in the To box, and then select Add.

Select OK, select OK, and then select Continue.

Select the Protocols tab, select TCP/IP Protocol > Properties. Select the Routing tab, and then select the Enable IP Forwarding check box if it isn’t already selected.

Select OK, and then select Close.

Select Yes to restart the computer.

Step 2: Configure the VPN client TCP/IP properties

To disable the Use Default Gateway on Remote Network setting in the VPN dial-up connection item on the client computer:

1. Double-click My Computer, and then select the Network and Dial-up Connections link.
2. Right-click the VPN connection that you want to change, and then select Properties.
3. Select the Networking tab, select Internet Protocol (TCP/IP) in the Components checked are used by this connection list, and then select Properties.
4. Select Advanced, and then clear the Use default gateway on remote network check box.
5. Select OK, select OK, and then select OK.

Step 3: Connect to the server that’s running Routing and Remote Access

On the client computer, connect to the Internet, and then establish a VPN connection to the server that is running Routing and Remote Access.

You cannot connect to resources on the remote network because you have disabled the Use Default Gateway on Remote Network setting in the VPN TCP/IP configuration.

Step 4: Add a static route on the client

Add a static route on the client computer that uses the following configuration:

• The remote network is the destination.
• The correct subnet mask is used for the remote network.
• The first IP address from the static IP address pool that you configured in the Step 1: Configure the server that’s running Routing and Remote Access to use a static IP address pool section of this article is the gateway.

The Routing and Remote Access server assigns this first IP address to its wide area network (WAN) Miniport driver.

For example, to add a static route to a network that has the IP address of 192.168.10.0, the subnet mask of 255.255.255.0, and the gateway (the first IP address of the range assigned to the static IP address pool) of 192.168.1.1, run the following command:

If you use the -p switch with Windows 2000 or Windows NT 4.0, the route is made persistent. Use this switch to ensure that the routing entry is preserved when the computer is restarted.

The -p switch isn’t supported on either Microsoft Windows Millennium Edition-based, Microsoft Windows 98-based, or Microsoft Windows 95-based computers.

Workaround

To work around this issue, create a batch file that contains the necessary route add command. And then configure it to run each time that a client connects to the VPN Server.

После подключения к VPN серверу пропадает Интернет в Windows 10

Пользователи при подключении из дома к корпоративному VPN серверу (будь то AlwaysOnVPN, стандартный VPN сервер на Windows Server RRAS, или OpenVPN) жалуются, что у них не работает доступ в Интернет со своего компьютера при активном VPN подключении. В этой статье мы разберемся, почему пропадает доступ в Интернет в Windows 10 при подключении к VPN и как исправить эту проблему.

При создании нового VPN подключения в Windows (всех версий) в его настройках по-умолчанию включена опция “Использовать основной шлюз удаленной сети” (Use default gateway on remote network). Это означает, что весь трафик с вашего компьютера отправляется через VPN туннель. Если на VPN сервере для удаленных клиентов разрешен доступ только к локальным ресурсам предприятия, и запрещен доступ в Интернет, то у пользователя на компьютере не будут открываться внешние веб-сайты и другие Интернет ресурсы. Соответственно, после отключения от VPN, весь трафик пользователя пойдет через обычную сеть и у него появится Интернет-доступ.

Режим, когда часть трафика (доступ к корпоративным ресурсам) отправляется через VPN туннель, а другая часть (доступ в Интернет) через локальное сетевое подключение называется split tunneling.

В Windows 10 можно включить split tunneling (отключить маршрутизацию Интернет трафика через VPN туннель) тремя способами:

1. В настройках параметров TCP/IP VPN подключения;
2. С помощью фала rasphone.pbk;
3. При помощи PowerShell командлета Set-VpnConnection с параметром SplitTunneling

Самый простой способ – изменить настройки TCP/IP для вашего VPN подключения через Панель управления.

1. Откройте список сетевых подключений в Панели управления (Control Panel\Network and Internet\Network Connections) и откройте свойства вашего VPN подключения;
2. Перейдите на вкладку Networking, выберите Internet Protocol Version 4 (TCP/IPv4) и нажмите кнопку Properties;
3. Нажмите кнопку Advanced;
4. Убедитесь, что на вкладке IP Settings включена опция “Use default gateway on remote network’.
   

После отключения опции “Использовать основной шлюз в удаленной сети” и переподключения к VPN шлюзу на компьютере появится доступ в Интернет через вашего провайдера. Но в некоторых билдах Windows 10 по какой-то причине эта опция теперь не работает (втречались разные проблемы: поле недоступно для редактирования, или настройка не сохраняется, или же не открываются настройки при нажатии на кнопку свойств TCP/IPv4), поэтому нужно рассмотреть и другие способы.

Файл rasphone.pbk находится в каталоге ( C:\ProgramData\Microsoft\Network\Connections\pbk\ ) – если вы создали VPN подключение для всех пользователей компьютера, или в каталоге профиля пользователя C:\Users\username\AppData\Roaming\Microsoft\Network\Connections\Pbk – если данное VPN подключение доступно только для вашего пользователя.

Откройте файл rasphone.pbk с помощью любого тактового редактора (подойдет даже notepad.exe). В этом файле хранятся параметры всех настроенных VPN подключений. Найдите параметр IpPrioritizeRemote. По умолчанию его значение равно 1. Измените его на 0, сохраните файл rasphone.pbk и перезапустите VPN подключение.

Также вы можете настроить разделение VPN трафика с помощью PowerShell. Выведите список доступных VPN подключений:

Убедитесь, что опция SplitTunneling для данного подключения отключена ( SplitTunneling: False ).

Чтобы включить SplitTunneling, нужно указать имя вашего VPN подключения:

Set-VpnConnection –name “vpn.winitpro.ru” -SplitTunneling $true

Переподключитесь к своему VPN серверу и проверьте, что у вас на компьютере появился доступ в Интернет и сохранился доступ к корпоративным ресурсам за VPN шлюзом. Включение опции SplitTunneling аналогично отключению (Use default gateway on remote network) в настройка TCP/IPv4 для VPN подключения (после выполнения предыдущей команды галка на этой опции снимается).