VPN Split Tunneling - плюсы и минусы и как этого добиться?
Ну, это дилемма, я хочу, чтобы удаленные клиенты подключались к моей сети и только маршрутизировали локальный доступ через VPN. Это разделенное туннелирование, клиент использует свое интернет-соединение для всех других интернет-запросов и VPN-туннель к моей сети для локальных запросов.
Возникает пара проблем: раздельное туннелирование в Windows достигается снятием флажка "Использовать шлюз по умолчанию в удаленной сети" в настройках TCP/IP клиентского VPN-подключения. В любой момент пользователь может поставить галочку и направить весь свой интернет-трафик через мою сеть, поглощая мою пропускную способность и скрытый моим IP-адресом. Это неприемлемо.
Проблема № 2 заключается в том, что если клиент разделяет туннелирование, он становится шлюзом между интернетом и моей сетью, это также недопустимо.
Мои вопросы: как можно достичь разделения сервера туннелирования? And is the latter issue a valid con worthy of worry?
Любые мысли будут оценены!
1 ответ
Есть несколько вещей, которые вы можете сделать, чтобы предотвратить это. Первое, и, вероятно, самое простое, это просто установить правила брандмауэра на вашем VPN-сервере, чтобы запретить любой трафик, который не предназначен для ваших локальных подсетей. С этими правилами, любой "связанный с интернетом" трафик будет просто отброшен.
Если у вас нет возможности вносить изменения в брандмауэр, вы можете настроить свой внешний NAT-блок так, чтобы он просто отказывался выполнять свои обязанности NAT для вашей подсети VPN-клиента.
По поводу "Выпуск № 2". Как именно клиент "станет шлюзом между интернетом и вашей сетью"? Чтобы это произошло, необходимо установить правила маршрутизации.