Windows 7, conexión de red sin puerta de enlace predeterminada: ¿alguna forma de cambiar el estado de "Red desconocida"?

17

Tengo una computadora con Windows 7 Pro RTM. Esta computadora tiene dos conexiones de red:

  • Una conexión Wi-Fi a Internet (a través de un enrutador doméstico) que funciona bien.
  • Una conexión de red virtual OpenVPN. Más precisamente, esta es una conexión Ethernet virtual que se comporta exactamente como una conexión física por cable Ethernet.

Mi problema es que el "Centro de redes y recursos compartidos" muestra "Red desconocida" para la conexión OpenVPN. Después de algunas investigaciones, descubrí que las redes lógicas (fuera de un dominio) se identifican por la dirección MAC de la puerta de enlace predeterminada de la conexión. El problema es que la conexión OpenVPN no tiene una puerta de enlace predeterminada: es una red privada, por lo que no necesito una ...

En consecuencia, la "red desconocida" siempre se considera pública, por lo que el firewall siempre está en "modo público", lo que no quiero. Además, no puedo cambiar el nombre de "Conexión desconocida" ni nada (lo que tiene sentido), por lo que es un poco feo.

Mi objetivo es definir una red lógica adecuada para la conexión OpenVPN con el perfil privado. Sé de algunas soluciones (deshabilite el firewall, modifique la política de seguridad para hacer que todas las redes desconocidas sean "privadas") pero aún son soluciones. Solo quiero que mis clientes se conecten a la VPN sin tener que deshabilitar la configuración del firewall, sin cambiar la configuración global con posibles efectos secundarios (la solución de "política de seguridad") y sin tener que mirar una "conexión desconocida" fea en la red y centro de intercambio.

¿Hay alguna manera de que pueda hacer esto? Traté de verificar lo que estaba sucediendo en el registro (HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ NetworkList es interesante), pero todavía no encontré una manera de "forzar" que la conexión OpenVPN se asigne a una lógica red.

Cualquier ayuda será muy apreciada.

Una pregunta relacionada apareció en Superusuario: /superuser/37355/windows-7-cant-identify-network/37422

Etienne Dechamps
fuente
2
Pregunta realmente interesante, espero que sea respondida.
Massimo
1
No tengo una forma de probarlo en este momento, pero ¿podría agregar la dirección IP como puerta de enlace también, dirigiéndola a sí misma?
Jes
Buen intento, pero no funciona: Windows no me permite establecer la dirección de puerta de enlace predeterminada en la dirección IP de la NIC. No muestra ningún error, pero cuando vuelvo a las propiedades de la conexión, la puerta de enlace predeterminada todavía está vacía.
Etienne Dechamps
Jes: después de una discusión en Superusuario, lo intenté nuevamente (configuré la propia IP como puerta de enlace) y funciona ... hasta que la interfaz se deshabilita o la computadora se reinicia. Cuando lo vuelvo a habilitar, la puerta de enlace predeterminada desaparece una vez más ... ¿alguna idea?
Etienne Dechamps

Respuestas:

4

Hay un script de PowerShell aquí que parece que hace lo que quiere.

Fahad Sadah
fuente
La eliminación de todas las funciones de reconocimiento de red en la interfaz no era la solución que esperaba, pero debo admitir que funciona. Es mejor que nada, supongo. Aceptaré tu respuesta, al menos hasta que aparezca una mejor.
Etienne Dechamps
3
ah, ese es mi script (de nivot.org)
x0n
9

Solo quiero que mis clientes se conecten a la VPN sin tener que deshabilitar la configuración del firewall, sin cambiar la configuración global con posibles efectos secundarios (la solución de "política de seguridad") y sin tener que mirar una "conexión desconocida" fea en la red y centro de intercambio.

¿Hay alguna manera de que pueda hacer esto?

La solución alternativa que utilizamos es enviar una ruta predeterminada al cliente a través del archivo de configuración OpenVPN, por ejemplo, así:

# Dummy default gateway to work around Windows 'unidentified network'/'unknown network'
route-metric 512
route 0.0.0.0 0.0.0.0

Definitivamente, desea asegurarse de que la métrica proporcionada sea más alta que su ruta predeterminada de Internet , de lo contrario, todo el tráfico se enrutará a través de la VPN (lo que podría ser deseable en casos específicos, pero este es otro tema).

Tenga en cuenta que jugar con la configuración de red en general y el enrutamiento en particular puede tener todo tipo de efectos secundarios no deseados, si se hace de manera incorrecta, pero siempre que sepa lo que hace, debería poder juzgar el impacto:

  • Específicamente, la solución provista de tener dos puertas de enlace predeterminadas como esta se considera semánticamente incorrecta al menos y Windows le advierte en consecuencia, si configura esto a través de la interfaz de usuario.
  • Consulte ¿Cómo hacer que una red privada no identificada sea identificable y privada? para una discusión de este tema, específicamente la pregunta en sí y los carteles (Jason R. Coombs) críticas razonables sobre el breve resumen de Steve Hathaways del método de puerta de enlace predeterminado en la página.

Dicho esto, hemos utilizado esta solución con éxito durante bastante tiempo sin ningún problema.

Steffen Opel
fuente
"ruta 0.0.0.0 0.0.0.0" no funcionará. La puerta de enlace predeterminada debe ser accesible (ARP) en la conexión. Sin embargo, estoy de acuerdo con las otras partes de su respuesta.
Etienne Dechamps
1
Oh, de hecho, funciona. Esto se debe a que entendí mal la sintaxis de la opción de configuración OpenVPN de "ruta". Hay un tercer parámetro predeterminado que es la puerta de enlace VPN, por lo que Windows realmente logra obtener una respuesta ARP "virtual" de OpenVPN.
Etienne Dechamps
Tengo que decir que esta es la mejor opción que encontré hasta ahora. El truco del registro que le permite a Windows pensar que la red es la conexión de la computadora a un dominio elude la seguridad por completo y la otra sugerencia, al agregar una ruta permanente, dejaría una ruta sin sentido incluso cuando OpenVPN esté cerrado.
Cygon
1

Para OpenVPN AS (Servidor de acceso) es posible que desee agregar esto a la Configuración avanzada de VPN en el cuadro Directivas de configuración del servidor :

push "route-metric 512"
push "route 0.0.0.0 0.0.0.0"

Luego actualice el servidor y, et voilet, Win7 obtendrá el gw predeterminado en el dispositivo TAP y le permitirá cambiar el tipo de Red de Desconocido a otros.

¡Gracias @ Steffen-Opel por el dato! :)

andreground
fuente
1

Me gustaría dejar mi contribución. Vea lo que funcionó en mi caso ... Windows 7 y Windows 8 ...

Paso mucho tiempo con este problema de conectividad entrante del cliente.

Desactivar la interfaz TAP en el firewall funciona bien, pero es casi lo mismo que desactivar el firewall en el contexto VPN. Las máquinas VPN se ejecutan en diferentes contextos de seguridad y algunas pueden afectar a otras.

Probé la configuración de "puerta de enlace predeterminada" que reconoce la red como una "Red de trabajo" (solo en Win7, no en Win8), ¡y sin embargo no PING!

Agregar manualmente un registro "* NdisDeviceType" en el registro tampoco funcionó en Win8.

Entonces, al ver atentamente la configuración de Firewall de Windows, vi otras configuraciones de alcance en lugar de solo perfiles, así que intenté ejecutar otro servicio en lugar de PING y ¡cuál fue mi sorpresa cuando funcionó correctamente, incluso en "Redes no identificadas" y "Perfil público"!

Entonces, traté de aislar el problema de PING, y la configuración que lo hizo funcionar fue la siguiente: La entrada predeterminada del Firewall de Windows que habilita fuera de PING IPv4 es "Compartir archivos e impresoras (solicitud de eco - ICMv4-In)", así que en su propiedades, hice clic en "Alcance", y en "Dirección IP remota" cambié de "Subred local" a "Cualquier dirección IP", y esto hizo que PING funcionara.

syncord
fuente
0

Oye, pude hacer que esto funcione. Fui al Centro de redes y recursos compartidos, luego hice clic en "Grupo de inicio". En esa pantalla dice que no puedo unirme a un grupo en el hogar porque la red es pública. Luego hice clic en la pregunta "¿Qué es una ubicación de red?" y me permite cambiar el tipo de red. Aparece una pantalla que dice que Windows no pudo cambiar el tipo de red, pero cambiará.


fuente
-2

¿Qué pasa con la adición de otro Ip del segmento como la puerta de enlace predeterminada? Aunque no consultará ni tocará direcciones externas, tendrá una puerta de enlace predeterminada, que debería satisfacer a Windows. O cambie su DHCP para proporcionar uno, si no lo hace.

jfmessier
fuente
1
Realmente no entiendo. Si le doy a Windows una puerta de enlace predeterminada para esta conexión, Windows podría usar la conexión VPN como ruta predeterminada. Es decir, Windows usará la conexión VPN para acceder a Internet ... lo que por supuesto no quiero (de todos modos no funcionaría).
Etienne Dechamps
-3

Intente ingresar al "Centro de redes y recursos compartidos" mientras está conectado a la VPN, y debería ver las redes enumeradas. Debajo de cada red habrá un estado como "Red de trabajo" o "Red de dominio", debe poder hacer clic en él y cambiar el tipo de red.

J.Ja

Justin James
fuente
2
No es para redes desconocidas
Mark Henderson