Как я могу контролировать, какой трафик проходит через VPN?

Question

Моя работа просто изменила политику в отношении того, как мы можем подключиться из дома - раньше я мог подключиться к ssh к шлюзу, а затем подключиться к ssh на любые внутренние машины, которые мне нужно было использовать. Теперь, однако, мне нужно использовать VPN для подключения, а затем я могу просто подключиться по ssh к любым машинам, которые мне нужны.

Это круто, но я не хочу, чтобы весь мой трафик проходил через VPN по разным причинам. Он использует Cisco AnyConnect Mobility Client, и я просмотрел настройки, которые мог найти, но ничего не нашел о том, как выбрать, какой трафик проходит через VPN, а какой - через мое обычное интернет-соединение.

Могу ли я установить его на уровне приложения - как всегда, маршрутизировать Firefox через Интернет, а Chrome через VPN? Или я могу настроить его для трафика порта - настроить только мой SSH-трафик, чтобы он проходил через VPN и оставлял все остальное через обычный интернет?

Answer 1

Вот отличный документ по ручной настройке разделенного туннеля на стороне системы (если это возможно). Вы можете контролировать, куда ваш ПК с Windows отправляет свой трафик, создав правила маршрутизации в вашей системе и, в частности, управляя интерфейсами, через которые проходит трафик на определенные диапазоны IP-адресов. Это, вероятно, лучший способ достичь вашей цели без привлечения ИТ-отдела вашей компании, и он гарантирует, что весь ваш обычный трафик покинет ваше домашнее подключение к Интернету независимо от используемого браузера. Это может не работать в зависимости от конфигурации ИТ-администратора программного обеспечения AnyConnect, но это общая политика для его настройки для split-tunnel. Смотрите здесь.

Различия в поведении сплит туннелирования клиента для трафика в подсети

Клиент AnyConnect и устаревший клиент Cisco VPN (клиент IPsec/IKEv1) ведут себя по-разному при передаче трафика на сайты в той же подсети, что и IP-адрес, назначенный ASA. С AnyConnect клиент передает трафик ко всем сайтам, указанным в настроенной политике раздельного туннелирования, и ко всем сайтам, которые находятся в той же подсети, что и IP-адрес, назначенный ASA. Например, если IP-адрес, назначенный ASA, является 10.1.1.1 с маской 255.0.0.0, конечное устройство передает весь трафик, предназначенный к 10.0.0.0/8, независимо от политики раздельного туннелирования.

В отличие от этого, унаследованный клиент Cisco VPN передает трафик только по адресам, указанным в политике раздельного туннелирования, независимо от подсети, назначенной клиенту.

Поэтому используйте маску сети для назначенного IP-адреса, который правильно ссылается на ожидаемую локальную подсеть.

Вот документация:https://documentation.meraki.com/MX-Z/Client_VPN/Configuring_Split-tunnel_Client_VPN

Это можно использовать для проверки того, что делает программное обеспечение при установлении соединения, и, возможно, для ручной настройки разделенного туннеля.

Я добавлю шаги здесь, в случае, если ссылка когда-либо будет сломана.

1) На сетевом адаптере, созданном программным обеспечением VPN, в разделе IPv4, Advanced, убедитесь, что флажок "Использовать шлюз по умолчанию в удаленной сети" не установлен.

2) В командной строке введите: route print

3) Найдите VPN-интерфейс в списке и запомните его идентификатор (число, например, 12). Затем вы можете добавить конкретные маршруты, набрав:

route add <destination subnet> mask <subnet mask> 0.0.0.0 IF <VPN adapter number> -p

например.

route add 10.10.10.0 mask 255.255.255.0 0.0.0.0 IF 12 -p

Вот еще один вопрос, который задает тот же вопрос. Удачи!