Como posso controlar qual tráfego passa por uma VPN?

3

Meu trabalho acabou de alterar as políticas sobre como podemos nos conectar em casa - anteriormente, eu poderia ssh em um gateway e, em seguida, ssh em qualquer máquina interna que eu precisasse usar. Agora, no entanto, eu tenho que usar uma VPN para me conectar e então posso apenas fazer o ssh diretamente para qualquer máquina que eu precise.

Isso é legal, mas não quero que todo o meu tráfego passe pela VPN por diversos motivos. Ele está usando o Cisco AnyConnect Mobility Client e observei as configurações que consegui encontrar, mas não consegui encontrar nada sobre como selecionar o tráfego que passa pela VPN e que passa pela minha conexão normal com a Internet.

Posso configurá-lo em um nível de aplicativo? Como sempre rotear o Firefox pela Internet, mas o Chrome pela VPN? Ou posso configurá-lo para o tráfego da porta - definir apenas o tráfego SSH para passar pela minha VPN e deixar todo o resto através da minha Internet normal?

    
por tpg2114 03.04.2015 / 19:50

1 resposta

4

Aqui está um ótimo documento sobre como configurar manualmente um túnel dividido no lado do sistema (se for possível). Você pode controlar onde o seu PC com Windows envia seu tráfego, criando regras de roteamento em seu sistema e, especificamente, controlando as interfaces que trafegam para determinados intervalos de IP. Esta é provavelmente a melhor maneira de atingir o seu objetivo sem envolver o departamento de TI da sua empresa, e garantirá que todo o tráfego regular saia da sua conexão de Internet doméstica, independentemente do navegador usado. Isso pode não funcionar dependendo da configuração do AnyConnect do administrador de TI, mas é política geral configurá-lo para o túnel dividido. Consulte aqui .

Differences in Client Split Tunneling Behavior for Traffic within the Subnet

The AnyConnect client and the legacy Cisco VPN client (the IPsec/IKEv1 client) behave differently when passing traffic to sites within the same subnet as the IP address assigned by the ASA. With AnyConnect, the client passes traffic to all sites specified in the split tunneling policy you configured, and to all sites that fall within the same subnet as the IP address assigned by the ASA. For example, if the IP address assigned by the ASA is 10.1.1.1 with a mask of 255.0.0.0, the endpoint device passes all traffic destined to 10.0.0.0/8, regardless of the split tunneling policy.

By contrast, the legacy Cisco VPN client only passes traffic to addresses specified by the split-tunneling policy, regardless of the subnet assigned to the client.

Therefore, use a netmask for the assigned IP address that properly references the expected local subnet

Aqui está o documento: link

Isso pode ser usado para verificar o que o software está fazendo quando uma conexão é estabelecida e, possivelmente, para configurar manualmente um túnel dividido.

Vou adicionar os passos aqui, caso o link seja quebrado.

1) No adaptador de rede criado pelo software VPN, em IPv4, Avançado, verifique se "Usar gateway padrão na rede remota" está desmarcado.

2) Em uma janela de comando, digite: route print

3) Procure a Interface VPN na lista e anote sua ID (um número como 12). Você pode adicionar rotas específicas digitando:

route add <destination subnet> mask <subnet mask> 0.0.0.0 IF <VPN adapter number> -p

por exemplo,

route add 10.10.10.0 mask 255.255.255.0 0.0.0.0 IF 12 -p

Aqui está outra pergunta que faz a mesma pergunta. Boa sorte!

    
por 03.04.2015 / 20:08