无法使用VPN客户端更改路由

我的VPN连接强制通过隧道的所有互联网流量，这是非常慢的。我希望能够只隧道某些IP地址，并在我这边（客户端）这样做。

我正在连接到VPN FortiSSL客户端 ，路由表在建立连接之前看起来像这样：

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101     40
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.101    276
    192.168.0.101  255.255.255.255         On-link     192.168.0.101    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.101    276
    192.168.119.0    255.255.255.0         On-link     192.168.119.1    276
    192.168.119.1  255.255.255.255         On-link     192.168.119.1    276
  192.168.119.255  255.255.255.255         On-link     192.168.119.1    276
    192.168.221.0    255.255.255.0         On-link     192.168.221.1    276
    192.168.221.1  255.255.255.255         On-link     192.168.221.1    276
  192.168.221.255  255.255.255.255         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.119.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.221.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.101    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.119.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.221.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.101    276

连接后它看起来像这样：

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.101   4265
          0.0.0.0          0.0.0.0         On-link        172.16.0.1     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       172.16.0.1  255.255.255.255         On-link        172.16.0.1    276
      192.168.0.0    255.255.255.0         On-link     192.168.0.101   4501
    192.168.0.101  255.255.255.255         On-link     192.168.0.101   4501
    192.168.0.255  255.255.255.255         On-link     192.168.0.101   4501
    192.168.119.0    255.255.255.0         On-link     192.168.119.1   4501
    192.168.119.1  255.255.255.255         On-link     192.168.119.1   4501
  192.168.119.255  255.255.255.255         On-link     192.168.119.1   4501
    192.168.221.0    255.255.255.0         On-link     192.168.221.1   4501
    192.168.221.1  255.255.255.255         On-link     192.168.221.1   4501
  192.168.221.255  255.255.255.255         On-link     192.168.221.1   4501
   200.250.246.74  255.255.255.255      192.168.0.1    192.168.0.101   4245
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.119.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.221.1   4502
        224.0.0.0        240.0.0.0         On-link     192.168.0.101   4502
        224.0.0.0        240.0.0.0         On-link        172.16.0.1     21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.119.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.221.1   4501
  255.255.255.255  255.255.255.255         On-link     192.168.0.101   4501
  255.255.255.255  255.255.255.255         On-link        172.16.0.1    276

VPN客户端使用比我的所有其他路由更低的度量标准的catch-all路由，并且这通过隧道路由所有互联网流量。 我尝试将默认的互联网路线指标更改为较低的值：

C:\Windows\system32>route change 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 10 if 13
OK!

但没有改变。

然后我尝试删除VPN的“全能”路线，上面是公制21的路线：

C:\Windows\system32>route delete 0.0.0.0 mask 0.0.0.0 if 50
OK!

它打破了一切：

C:\Windows\system32>ping 8.8.8.8

Pinging 8.8.8.8 with 32 bytes of data:
PING: transmit failed. General failure.

我也尝试更改适配器上的度量标准，但FortiSSL Client在连接时会覆盖所有设置，所以它没有帮助。

修复必须来自我的方面，因为另一方的民众需要几天的时间来回应。

如果有帮助，我正在运行Windows 7 x64。

- 更新（2013-12-24） -

谢谢 mbrownnyc 小费，我检查过这个问题 Rohitab 并发现FortiSSL Client用手表查看路线表 NotifyRouteChange IP Helper API调用。

我之前设置了一个断点 NotifyRouteChange 呼叫并使用“跳过呼叫”选项成功阻止FortiSSL重置路由指标，现在我有：

然而，当我运行tracert时，我的路由仍然通过VPN传出：

C:\Windows\system32>tracert www.google.com

Tracing route to www.google.com [173.194.118.83]
over a maximum of 30 hops:

  1    45 ms    47 ms    45 ms  Jurema [172.16.0.1]

有没有Windows网络的任何方面我不知道哪个可以支持某个路线，即使路线打印的指标另有说法？

请注意，我没有使用常规网络表示法来解决此问题（例如CIDR甚至是 host/mask 符号，不要混淆提问者）。

而不是删除您的“默认网关”路线（ 0.0.0.0 mask 0.0.0.0 ）以便您的网络堆栈不知道在哪里发送大多数数据包，尝试将VPN路由的度量标准提高到低于默认路由的度量标准（在这种情况下） 4265 ）。

与Fortigate客户端连接后：

route change 0.0.0.0 mask 0.0.0.0 172.16.0.1 metric 4266 if N

其中N是接口号 fortissl 接口在开头返回 route print。

网络堆栈应该正确对待：

• “包含目标地址”的路由将处理数据包（路由告诉网络堆栈发送目的地的数据包） this IP 至 this gateway 进一步路由）。
• 具有目标IP的所有数据包 172.16.*.* 将被发送到VPN;因为Windows网络堆栈知道如果有一个地址附加到接口，那么该接口就是您访问该地址范围内的其他IP的方式。如果您发布“子网掩码”，我可以更清楚地了解范围 172.16.0.1。

您必须确定需要通过VPN访问的资源的IP地址。您可以通过使用轻松完成此操作 nslookup [hostname of resource] 连接时没有调整路线。

[咆哮]

我允许通过VPN进行拆分隧道没有问题，特别是因为您引用的使用问题。如果您的IT部门认为拆分隧道安全机制，他们需要重新考虑他们正在做的事情：

• VPN客户端对资源的访问应该被隔离并严格限制，就好像它们是通过Internet访问一样（因为没有断言完全控制的资产比可以断言某些资产的资产存在更高的风险）。
• 他们应该为VPN客户端集成网络访问控制机制。这可以允许他们在客户端计算机上强制执行某些策略（例如“防病毒定义是最新的吗？”等）。
• 考虑使用类似的僵化解决方案 Fortigate SSL VPN虚拟桌面 （使用SSL VPN许可证，这是相当容易配置和免费的[我认为]）。

[/咆哮]