我有两个 VPN:VPN1 在登录前自动连接,并通过将所有流量推送到它来充当消费者 VPN。用户对此没有控制权 - 它需要在登录前连接,这意味着它由系统运行而不是在用户配置文件上运行,无论如何这都是可取的,因为我想强制加密所有到 VPN1 网关的流量。
我希望用户能够手动连接到 VPN2,这样就可以访问包含更多敏感资源的网络。VPN2 是进出该网络的唯一途径 - 防火墙会阻止其他所有途径。如果只连接到 VPN2,则无法访问互联网。
问题是,当用户连接到两个 VPN 时,他们的客户端可以充当桥梁,通过 VPN1 将 VPN2 暴露给互联网。我以为我有一个可靠的方法来抢占先机,即通过推送与 VPN1 相同的静态路由来告诉 Windows 将所有流量推送到 VPN2,但将路由度量设置为 1 以使其具有优先级。这将推送所有流量通过 VPN2,并且其防火墙将阻止任何外部流量,因此无法访问互联网。
但 Windows 10 似乎会自动尝试下一个最佳静态路由。因此,在通过 VPN2 网关到达目的地几次尝试失败后,它将使用 VPN1,尽管其度量值更高。
有没有办法防止这种故障转移?或者有任何相关文档,以便我可以玩弄它?例如,它会尝试 3 个网关,然后放弃,因此我添加了 4 个优先级更高的静态路由,这些路由会进入防火墙?