Comment sauvegarder la connexion PPTP – Windows 7?

Un ordinateur se connecte à un VPN. Le réseau doit rester hors ligne si la machine ne peut pas se reconnecter au VPN. Il ne devrait jamais utiliser la connexion normale. Seul le VPN.

Existe-t-il un moyen de configurer ce comportement?
La machine est utilisée localement, donc il n'est pas nécessaire de l'atteindre depuis le réseau ou n'importe quoi.

Système d'exploitation client: Windows 7 Professional x64 SP1

    Cela peut être réalisé en configurant un pare-feu pour permettre uniquement des connexions à l'IP du fournisseur VPN et / ou au port TCP 1723 et au port UDP 47.

    Si vous utilisez plusieurs fournisseurs VPN, le blocage basé sur le port est plus facile. Sinon, le blocage basé sur IP est plus sécurisé. Dans tous les cas, vous pouvez utiliser les deux.

    Par exemple, vous pouvez configurer le pare-feu Windows pour ce faire:

    1. Supposons que vous utilisez superfreevpn.com ( 69.60.121.29 ).

    2. Connectez-vous à Internet et à votre VPN.

    3. Appuyez sur Win + R et exécutez le control /name Microsoft.NetworkandSharingCenter .

    4. Dans Afficher vos connexions actives , cliquez sur le lien Accueil / Travail / Réseau public sous votre connexion Internet et choisissez Réseau public .

    5. Dans Afficher vos connexions actives , cliquez sur le lien Accueil / Travail / Réseau public sous votre connexion VPN et choisissez Réseau de travail .

    6. Appuyez sur Win + R et exécutez WF.msc .

    7. Dans le pare-feu Windows avec sécurité avancée sur l'ordinateur local , cliquez sur Action , puis sur Propriétés , accédez à l'onglet Profil privé et définissez ce qui suit:

       Firewall state: On (recommended) Inbound connections: Block all connections Outbound connnections: Allow (default) 
    8. Port-based

      • Dans les Règles sortantes , cliquez sur Action , puis sur Nouvelle règle … et sélectionnez ce qui suit:

         Port TCP Specific remote ports: 1-1722, 1724-65535 Block the connection Public Public TCP 
      • Dans les Règles sortantes , cliquez sur Action , puis sur Nouvelle règle … et sélectionnez ce qui suit:

         Port UDP Specific remote ports: 1-46, 48-65535 Block the connection Public UDP 

      IP

      • Dans les Règles sortantes , cliquez sur Action , puis sur Nouvelle règle … et sélectionnez ce qui suit:

         Custom All programs Any Any IP address These IP adresses Add This IP address range -> From: 0.0.0.0 To: 69.60.121.28 Add This IP address range -> From: 69.60.121.30 To: 255.255.255.255 Block the connection Public Non-VPN 
    9. Comme nous avons bloqué toutes les requêtes DNS non VPN maintenant, superfreevpn.com ne sera pas résolu.

      Soit modifiez votre connexion VPN en remplaçant le nom d'hôte par son adresse IP, soit ajoutez la ligne suivante à %windir%\system32\drivers\etc\hosts :

       69.60.121.29 superfreevpn.com 

    Adapté de manière transparente de la façon de configurer le pare-feu de sorte que lorsque le VPN se déconnecte, toute la navigation s'arrête .

    Une légère addition à l'excellente réponse de Dennis : si votre connexion Internet est configurée pour utiliser DHCP (comme la plupart sont), vous ne pourrez pas obtenir une adresse IP, sauf si vous excluez l'adresse du serveur DHCP et l'adresse de diffusion 255.255.255.255.

    Exécutez ipconfig /all (alors que DHCP fonctionne toujours) pour trouver l'adresse de votre serveur DHCP. Disons que c'est 192.168.2.1 et le serveur VPN est 69.60.121.29 , comme dans l'exemple de Dennis. Vous configurez ensuite le blocage pour les plages IP suivantes:

     From 0.0.0.0 to 69.60.121.28 From 69.60.121.30 to 192.168.1.255 From 192.168.2.2 to 255.255.255.254 

    En tant que solution de contournement temporaire, vous pouvez également désactiver la règle du pare-feu sortant qui bloque tout. C'est utile si vous avez déjà "perdu" votre adresse IP et ne connaissez pas l'adresse de votre serveur DHCP.

    (Crédit à Marcks Thomas pour la réponse initiale . Je l'ajoute simplement à cette question au cas où d'autres utilisateurs rencontreraient le même problème.)

    Un autre ajout non lié: il est judicieux de désactiver la découverte du réseau et le partage des fichiers et des imprimantes pour les réseaux Home / Work si vous suivez les étapes ci-dessus, étant donné que vous avez configuré l'Internet entier comme votre réseau "Work". Vous pouvez le faire sous Centre réseau et partage , Modifier les paramètres de partage avancés .

    Réponse alternative – utiliser des itinéraires

    Vous pouvez supprimer l'itinéraire par défaut via votre connexion Internet réelle et ajouter un itinéraire uniquement au serveur VPN. C'est plus simple que le pare-feu Windows d'une certaine manière, mais il y a une capture: Windows re-ajouter l'itinéraire par défaut chaque fois qu'il se connecte à un réseau. Vous pouvez contourner cela en utilisant Task Scheduler pour effectuer vos modifications chaque fois qu'il se connecte.

    Un bon bonus est que vous pouvez également vous connecter automatiquement au VPN chaque fois que vous vous connectez à un réseau, à condition que vous ayez le nom d'utilisateur et le mot de passe sauvegardés.

    Créez d'abord un fichier batch comme ceci:

     @ECHO OFF REM IP address of the real gateway you use to connect to the Internet SET REAL_GATEWAY_IP=192.168.2.1 REM (External) IP address of the VPN server SET VPN_SERVER_IP=69.60.121.29 REM Delete default route via the real gateway route delete 0.0.0.0 %REAL_GATEWAY_IP% REM Add a route to the VPN server via the real gateway route add %VPN_SERVER_IP% mask 255.255.255.255 %REAL_GATEWAY_IP% metric 1 REM To connect to the VPN (optional): rasphone -d "My VPN connection name" 

    Ensuite, ajoutez une tâche planifiée dans Task Scheduler pour exécuter le fichier batch avec le déclencheur configuré comme ceci:

    Configuration de déclenchement de tâche

    Vous pouvez également désélectionner "Démarrer la tâche uniquement si l'ordinateur est sous tension" dans l'onglet Conditions et sélectionnez "Exécuter si l'utilisateur est connecté ou non" dans l'onglet Général.

    Les itinéraires devraient ensuite être mis à jour chaque fois que vous vous connectez à un réseau et vous pouvez les vérifier en exécutant l' route print – il ne devrait pas y avoir de route vers 0.0.0.0 via la passerelle réelle.