Jak rozdělit provoz VPN tunelů na Windows, MacOS, DD-WRT a Tomato

Jak rozdělit provoz VPN tunelů na Windows, MacOS, DD-WRT a Tomato
Rozdělené tunelování umožňuje uživatelům VPN směrovat provoz z určitých aplikací nebo zařízení přes VPN, zatímco provoz z jiných aplikací a zařízení putuje přes výchozí síť, která není VPN. Dělené tunely lze použít pro několik různých účelů, včetně:


  • Povolení běžného používání internetu při současném přístupu k prostředkům dostupným pouze uživatelům VPN, například podnikovému serveru
  • Nastavení konkrétních zařízení, jako jsou herní konzole nebo streamování mediálních boxů, k použití (nebo nepoužívání) VPN bez ovlivnění ostatních zařízení v síti
  • Odesílání veškerého provozu zařízení prostřednictvím sítě VPN s výjimkou přístupu k obsahu nebo službám, které neumožňují připojení VPN, například MLB.tv nebo Netflix
  • Odesílání veškerého provozu přes VPN s výjimkou obsahu a služeb, které vyžadují nízkou latenci, jako jsou aplikace VoIP a online hry
  • Směrování toků torrentů pouze přes VPN, zatímco veškerý další internetový provoz jde do výchozí sítě
  • Získejte přístup k síti VPN, aniž by to ovlivnilo vaše připojení k jiným zařízením v místní síti, například k tiskárnám nebo serveru Plex Media

Vaše představivost je limitem počtu aplikací pro split tunneling. To a váš hardware. Různé typy dělených tunelů mají různé technické požadavky. To, čeho lze dosáhnout, závisí do značné míry na vašem zařízení, wifi routeru a službě VPN.

Než začnete, je důležité si uvědomit, že rozdělení tunelů vyžaduje určité pokročilé technické znalosti a náhodná implementace může vést k bezpečnostním rizikům. Pokud správně nenakonfigurujete nastavení rozdělení tunelů, může váš poskytovatel internetových služeb nebo třetí strana získat přístup k některým citlivým údajům.

Druhy dělených tunelů

Pro typické uživatele VPN existují čtyři hlavní typy rozděleného tunelování.

První typ je nejjednodušší a je užitečný, pokud potřebujete přistupovat ke vzdáleným prostředkům přes VPN a zároveň udržovat normální připojení k internetu bez připojení VPN. Jak to udělat, vysvětlíme níže v tutoriálech.

Druhý je podle zařízení. Pokud například chcete, aby se vaše herní konzole připojila k internetu bez VPN, ale váš počítač a smartphone se připojily k VPN. Tento typ dělených tunelů se obvykle provádí na routeru WiFi. V populárním firmwaru routeru DD-WRT se to nazývá „směrování založené na zásadách“.

Třetí typ dělených tunelů je podle aplikace. Můžete nastavit černou listinu nebo bílou listinu aplikací a služeb, které chcete připojit k VPN nebo nechcete připojit k VPN. Ten se někdy nazývá „inverzní“ split tunel. Pokud například chcete procházet sítí VPN pouze pomocí torrentu, ale všechny ostatní aplikace, jako jsou hry a webové prohlížeče, se připojují k internetu bez sítě VPN, je to metoda, kterou chcete použít. Rozdělené tunelování podle aplikace funguje pouze u některých sítí VPN, operačních systémů a firmwaru routeru.

Poslední typ dělených tunelů umožňuje směrovat provoz na základě jeho cíle, nikoli podle jeho zdroje. Například, pokud jste chtěli směrovat veškerý provoz přes VPN kromě toho, který cestoval do Netflixu nebo Hulu. Tomu se říká směrování založené na IP a je to nejobtížnější typ rozdělení tunelů. Vyžaduje to stavový směrovač nebo firewall a, i když to máte, weby, jako je Netflix, mají tolik IP adres, že je těžké spolehlivě pracovat. V tomto článku proto nebudeme pokrývat směrování IP.

Ne všechny operační systémy podporují všechny typy dělených tunelů. Ve skutečnosti uživatelé Windows zjistí, že jejich možnosti jsou výrazně omezeny. Mac nejsou špatní, ale směrovače s firmwarem DD-WRT nebo Tomato nabízejí nejvšestrannější využití. Bohužel jsou také nejsložitější konfigurovat.

Jak rozdělit tunel na MacOS

Nejprve se u poskytovatele VPN ověřte, zda jejich aplikace obsahuje vestavěné funkce rozděleného tunelového propojení. Ačkoli to není příliš běžné, někteří poskytovatelé, jako je ExpressVPN, nabízejí tunelování rozdělených podle aplikací. S Připojení na aplikaci v aplikaci Mac ExpressVPN pro Mac můžete vytvořit černou listinu nebo seznam povolených aplikací pro směrování přes VPN.Jak rozdělit provoz VPN tunelů na Windows, MacOS, DD-WRT a Tomato

Pokud vaše aplikace VPN nemá integrovanou podporu pro split tunneling, musíme si zašpinit ruce a dělat věci ručně.

Budete potřebovat administrátorská oprávnění superuživatele a existující připojení L2TP nebo PPTP a cílovou podsíť pro soukromý prostor VPN.

  1. Jít do Systémové preference > Síť
  2. Na levém postranním panelu klikněte na připojení VPN a přejděte na Pokročilé nastavení > Možnosti
  3. Zrušte zaškrtnutí políčka Odeslat veškerý provoz přes připojení VPNdělený tunel mac 3
  4. Uložte změny a připojte se k VPN
  5. Po připojení přejděte na aplikace > Utility > Terminál
  6. Typ ifconfig do terminálu a stiskněte Enter. Poznamenejte si rozhraní používané VPN. Při použití L2TP to pravděpodobně bude ppp0dělený tunel mac 2
  7. Přihlaste se jako root. Snadný způsob, jak toho dosáhnout, je psát sudo su do terminálu a ověřte pomocí svého hesla Mac.dělený tunel mac 1_2
  8. Zadejte následující příkaz a vyměňte jej >CÍLOVÁ SUBNET< s podsítí, kterou chcete směrovat přes VPN, a >ROZHRANÍ VPN< s rozhraním uvedeným v předchozím kroku.route add -net >CÍLOVÁ SUBNET< -rozhraní >ROZHRANÍ VPN<

Viz také: Náš seznam doporučených poskytovatelů Mac VPN.

Jak rozdělit tunel na Windows

Pokud jde o rozdělení tunelů, je Windows poměrně omezený. Neexistuje způsob, jak bychom si byli vědomi rozdělení tunelu podle aplikace nebo cíle. Místo toho je možnost rozděleného tunelování v systému Windows mnohem širší. Můžete se rozhodnout, že nebudete tunovat provoz IPv4 a IPv6, takže VPN bude procházet pouze místní přenos. To je užitečné, pokud potřebujete použít pouze VPN pro přístup ke vzdáleným prostředkům, které nejsou dostupné z vašeho běžného internetového připojení, ale ne moc jiného.

Windows navíc dělí pouze protokoly VPN tunelů, pro které má vestavěnou podporu. To znamená, že musíte nejprve nakonfigurovat připojení L2TP, SSTP nebo PPTP. OpenVPN zde nebude fungovat.

Tento příklad použije vaše místní připojení pro přístup k internetu, zatímco VPN bude použita pro přístup ke vzdáleným prostředkům, jako je soukromý obchodní server, ke kterému lze přistupovat pouze přes VPN. Síť VPN bude použita pouze v případě, že hostitel není k dispozici v místní síti.

V tomto tutoriálu se bude používat systém Windows 10. Předpokládáme, že jste již nastavili připojení k síti VPN a potřebujete pouze povolit rozdělení tunelování. Pro soukromý prostor VPN budete potřebovat administrátorská oprávnění a cílovou podsíť.

  1. Na panelu vyhledávání Windows zadejte Powershell a klikněte na něj pravým tlačítkem myši Spustit jako administrátordělená okna tunelu 1
  2. Typ Získejte připojení VPN a stisknutím klávesy Enter vyvolejte seznam všech dostupných připojení VPN. (Testuji mnoho sítí VPN, takže na mém snímku obrazovky je několik, ale pravděpodobně budete mít pouze jednu.) Poznamenejte si název VPN, kterou chcete rozdělit tunel.dělená okna tunelu 2
  3. Zadejte následující příkaz a stiskněte Enter >JMÉNO VPN< se jménem, ​​které jste si poznamenali v předchozím kroku: Set-VPNConnection -Name “>JMÉNO VPN<”-SplitTunneling $ True

Můžete zkontrolovat, zda je rozdělený tunel povolen zadáním Získejte připojení VPN příkaz znovu. Rozdělené tunelové pole by nyní mělo být nastaveno na true.dělená okna tunelu 3

Dále zadejte tento příkaz a poznamenejte si Popis pole:

ipconfig / all

V případě potřeby přidejte trasu. Nahradit >CÍLOVÁ SUBNET< s podsítí, kterou chcete směrovat přes VPN, a >ROZHRANÍ< s názvem pole Popis jsme zmínili v posledním kroku:

netsh interface ipv4 add route >CÍLOVÁ SUBNET< ">NÁZOV ROZHRANÍ<"

Pokud chcete zakázat rozdělení tunelování, zadejte tento příkaz:

Set-VPNConnection -Name ">JMÉNO VPN<" -SplitTunneling $ False

Rozdělte tunelování pomocí vlastního serveru OpenVPN v systému Windows

Pokud jste si vytvořili vlastní server OpenVPN podobný serveru v našem tutoriálu, který používá Amazon EC2, můžete povolit rozdělení tunelování v systému Windows úpravou vašich konfiguračních souborů..

Odstranit přesměrovaná brána def1 v konfiguračním souboru serveru OpenVPN (pravděpodobně nazývaného server.conf). V klientské konfiguraci (client.ovpn nebo client.conf) přidejte následující řádek:

cesta 12.12.12.0 255.255.255.0 vpn_gateway

To směruje podsíť 12.12.12.0 přes připojení VPN a vše ostatní z připojení mimo VPN.

Viz také: Nejlepší uživatelé VPN pro Windows 10.

Jak rozdělit tunel na routerech DD-WRT

Nastavení OpenVPN a rozdělení tunelů na routerech DD-WRT je zdlouhavé a složité podnikání, takže pokud se chcete vydat cestou směrovače, doporučujeme vám zakoupit si předplatné ExpressVPN. Díky tomu můžete nainstalovat vlastní firmware routeru ExpressVPN nebo si koupit router s předinstalovaným firmwarem. Je to mnohem jednodušší, než nastavit vše ručně.

router Expressvpn

NEJLEPŠÍ VPN pro rozdělení tunelu na routerech DD-WRT: ExpressVPN je naším výběrem. Tato VPN vede cestu díky svým snadno použitelným aplikacím bez problémů a softwaru routeru. Má rozsáhlou síť serverů, která je optimalizována pro vysokorychlostní připojení. Těžko porazit soukromí a bezpečnost. Pracuje se všemi hlavními streamingovými službami. K dispozici je 30denní záruka vrácení peněz bez omezení, takže ji můžete vyzkoušet bez rizika.

Pokud chcete zachránit několik babek a dělat věci tvrdě, budeme předpokládat, že jste již nastavili připojení VPN v DD-WRT a nechali jej správně fungovat. DD-WRT vám umožňuje rozdělit provoz VPN tunelem několika různými způsoby:

  • podle zařízení s názvem „směrování podle zásad“
  • podle cílové adresy IP, nazvané „Směrování IP“
  • aplikací nebo portem

Směrování založené na zásadách

Na hlavním panelu DD-WRT přejděte na Služba > VPN. Vyhledejte směrovací pole založené na zásadách a zadejte IP adresy pro všechna zařízení, která chcete procházet VPN. Je to jednoduché!

Pokud si nejste jisti IP adresami svých zařízení, najdete je na adrese Stav směrovače stránka řídicího panelu DD-WRT. Pod Síť sekce, najít Aktivní připojení IP. Kliknutím na číslo vedle čísla spustíte Tabulka aktivních IP připojení. Zde si můžete prohlédnout IP adresy všech příchozích a odchozích připojení na routeru a také protokoly a čísla portů.

Směrování založené na portu

Pokud chcete určit, které programy nebo aplikace používají VPN, jedním ze způsobů, jak toho dosáhnout, je rozdělení tunelů podle portů. Každá aplikace pravděpodobně používá jiný port, například webové prohlížeče používají TCP porty 80 a 443, Spotify používá TCP port 4070 a Steam používá UDP porty 27000 až 27030. Takže určením, které konkrétní porty směrují provoz VPN, můžeme tunel rozdělit aplikací.

Bohužel je to obtížnější, než to zní na DD-WRT. Budete se muset seznámit s tabulkami IPTables, které upravují pravidla brány firewall systému Linux ve firmwaru. Tento výukový program může být užitečný jako příklad.

Jít do Správa > Příkazy. Pod Firewall klikněte Upravit a zadejte potřebné příkazy. Poté přejděte do konfigurace klienta OpenVPN v DD-WRT a najděte Další konfigurace box pro úpravu vaší konfigurace OpenVPN.

Cílové IP směrování

Pokud chcete tunelovat provoz podle jeho cíle, tj. Podle webových stránek nebo jiného serveru, pak by směrování IP mohlo udělat trik.

Přejděte do konfigurace klienta OpenVPN v DD-WRT a najděte Další konfigurace box. Zadejte následující:

route-nopull
trasa XXX.XXX.XXX.XXX 255.255.255.255 net_gateway
trasa YYY.YYY.YYY.YYY 255.ZZZ.ZZZ.0 vpn_gateway

Nahraďte Xs stejnou adresou, kterou jste zadali pod IP serveru pole vaší konfigurace OpenVPN. Nahraďte Ys IP adresou serveru, na který chcete směrovat provoz VPN, a Zs příslušnou podsítí (druhá bude často 255.255.255.0)..

Pokud chcete směrovat veškerý provoz VPN směřující na konkrétní web, musíte přidat adresy IP a podsítě pro všechny servery, které web používá. Například Netflix používá několik desítek IP a mohou se kdykoli změnit, takže budete muset najít aktuální seznam IP Netflix a tuto konfiguraci pravidelně aktualizovat.

Jak rozdělit tunel na rajčatových směrovačích

Tomato nemá pečené směrování založené na zásadách, jako je DD-WRT, takže s používáním IPTables jste dosti spokojeni. Na ovládacím panelu Tomato, kde je vaše připojení OpenVPN již nastaveno a funkční, je to příklad, jak povolit selektivní směrování.

Jít do Správa > Skripty > Firewall a přidejte tyto příkazy:

iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE

Klikněte na kartu „WAN Up“ a přidejte tyto příkazy, které nahradíte >ZDROJOVÁ IP adresa< s místní IP zařízení, které chcete směrovat přes VPN:

spánek 30
Splachovací stůl ip trasy 200
Vyprázdnění mezipaměti ip route
ip pravidlo přidat od >ZDROJOVÁ IP adresa< vyhledávání 200
VPN_GW = `ifconfig tun11 | awk '/ inet addr / {split ($ 2, A,":"); tisk A [2]} '`
ip route přidat tabulku 200 výchozí přes $ VPN_GW dev tun11

Na levém postranním panelu přejděte na VPN tunelování > Klient OpenVPN. V konfiguraci klienta OpenVPN přejděte na Pokročilý. Pod Vlastní konfigurace, přidat tento příkaz:

route-nopull

Tunel Split Paulio Geordio licencován pod CC BY 2.0

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

+ 85 = 86