Jak korzystać z jednego połączenia z Internetem dla VPN, a drugiego do uzyskiwania dostępu do innych stron?

12

Mam dwie karty sieciowe. Jeśli podłączę się do sieci za pomocą VPN, aby uzyskać dostęp do innych stron internetowych, muszę przejść przez serwer proxy.

Czy można użyć mojej drugiej karty sieciowej do bezpośredniego połączenia z Internetem bez przechodzenia przez serwer proxy?

internet vpn proxy Rohit Banga
źródło
1
Myślę, że przez połączenie z Internetem masz na myśli w szczególności strony internetowe. W takim przypadku potrzebujesz zapory ogniowej, która może kierować pakiety na podstawie portu / protokołu lub stref. Jest to łatwe w Linuksie, niestety nie mogę pomóc w systemie Windows, ale myślę, że warto spojrzeć na zaporę systemu Windows w Windows 7, ponieważ obsługuje konfigurację opartą na strefach dla każdego interfejsu. Być może jakiś ekspert Windows wyjaśni to :)
Matthias Krull

Odpowiedzi:

12

To, o co pytasz, nazywa się „Split DNS” lub „Split Tunneling”. Urządzenie VPN musi obsługiwać to LUB można ręcznie wprowadzić adres IP i informacje o nazwie hosta do pliku hosts .

Od Jak skonfigurować VPN z dzielonym tunelem w Windows Vista :

Pytałeś także o dzielone tunelowanie, więc poświęć chwilę na wyjaśnienie tej koncepcji, zanim przejdziesz przez proces tworzenia połączenia VPN. Domyślnie podczas tworzenia połączenia VPN system Windows obsługuje całą komunikację z komputera za pośrednictwem sieci VPN. Jeśli więc jesteś zalogowany do korporacyjnej sieci VPN z domu, aby sprawdzić pocztę e-mail, wszystkie inne surfowanie po Internecie, które robisz na komputerze, jest również prowadzone przez sieć firmową. Jest to zachowanie domyślne, ponieważ z punktu widzenia firmy jest to najbezpieczniejszy sposób i zapewnia ochronę całego ruchu bez względu na miejsce docelowe.

Możesz jednak nie chcieć tego zachowania z kilku powodów. Po pierwsze, pozwala twojej firmie na sprawdzenie całego twojego osobistego ruchu internetowego podczas połączenia z VPN. Po drugie, prawdopodobnie spowolni twój dostęp do sieci, ponieważ wszystko musi najpierw zostać przesłane przez VPN.

Natomiast tunelowanie dzielone konfiguruje połączenie VPN tak, aby tylko ruch kierowany do komputerów w sieci firmowej był przesyłany przez połączenie VPN. Pozostały ruch wychodzący z komputera przechodzi przez normalne połączenie sieciowe.

Wykonaj następujące kroki, aby skonfigurować połączenie VPN w systemie Windows Vista, które używa tunelowania dzielonego:

  1. Z Panelu sterowania wybierz „Sieć i Internet”.
  2. Kliknij „Wyświetl stan sieci i zadania”.
  3. Kliknij „Zarządzaj połączeniami sieciowymi”.
  4. Kliknij połączenie VPN prawym przyciskiem myszy i wybierz „Właściwości”.
  5. Wybierz kartę „Sieć”.
  6. Podświetl „Protokół internetowy w wersji 4 (TCP / IP v4)”.
  7. Kliknij „Właściwości”.
  8. Kliknij „Zaawansowane”.
  9. Odznacz pole „Użyj domyślnej bramy w sieci zdalnej”.
  10. Kliknij trzy razy przycisk „OK”, aby zamknąć otwarte okna.

Od tego momentu tylko ruch przeznaczony dla Twojej sieci korporacyjnej będzie przesyłany przez VPN. Cały pozostały ruch będzie korzystał z sieci lokalnej.

EDYCJA 1

Informacje, że używany jest klient Cisco VPN, nie były zawarte w oryginalnym poście i zasadniczo zmienia wszystko i znacznie komplikuje ostateczne rozwiązanie.

Największym problemem jest to, że serwer VPN musi być skonfigurowany, aby umożliwić dzielone tunelowanie. W przeciwnym razie po prostu worek z piaskiem w twoim komputerze.

Po drugie, możesz spróbować skonfigurować zgodnie z artykułem Cisco Konfigurowanie Cisco VPN Client 3.5 i Cisco Integrated Client w celu zabezpieczenia niezaszyfrowanego ruchu podczas korzystania z tunelowania Split .

Mogę jednak polecić z własnego doświadczenia jedno rozwiązanie, które rozwiązuje problem bez dodatkowej konfiguracji. To rozwiązanie polega po prostu na zainstalowaniu i wywołaniu klienta Cisco VPN z maszyny wirtualnej. Nawet jeśli klient Cisco spróbuje następnie wprowadzić worek z piaskiem, spowoduje to utworzenie worka tylko na maszynie wirtualnej, a nie na komputerze. Twój własny komputer pozostaje bezpłatny i może korzystać z Internetu, podczas gdy VPN jest używany z maszyny wirtualnej.

EDYCJA 2

Klient Cisco VPN tworzy tunel, który może być dobrowolny lub obowiązkowy. Rodzaj tunelu jest podyktowany przez administratora serwera VPN , z którym się łączysz. Tunel obowiązkowy odetnie wszelki dostęp do dowolnego komputera zewnętrznego, w tym do sieci LAN, i jest to, co nazwałem „piaskownicą”.

Aby uzyskać więcej informacji, zobacz Obowiązkowe tunelowanie w następujących artykułach.

Jeśli chcesz zostać ekspertem we wszystkich sieciach VPN, zalecana jest dobra książka, ponieważ jest po prostu zbyt wiele informacji.

harrymc
źródło
używam klienta VPN Cisco do połączenia. To było wstępnie skonfigurowane. Widzę nazwę hosta, nazwę użytkownika dla połączenia. ale hasło nie jest widoczne. Jeśli łączę się za pomocą klienta, muszę również podać własną nazwę użytkownika i hasło.
Rohit Banga,
w używanym adapterze Cisco VPN nie ma opcji „Użyj domyślnej bramy w sieci zdalnej”. Istnieje jednak lista, na której określono domyślną bramę do sieci z wartością 1. Czy mogę w jakiś sposób z niej korzystać?
Rohit Banga,
1
@iamrohitbanga: Zobacz moją edycję.
harrymc
tak, to powinno działać ... ale ze względu na ciekawość możliwe jest wdrożenie rozwiązania Patkos. Chcę systematycznie zmieniać wpisy tabeli routingu, aby to osiągnąć. Inną rzeczą, o której myślę, jest to, że jeśli zainstaluję serwer proxy na moim komputerze, to nie mogę skierować całego ruchu z określonej przeglądarki przez serwer.
Rohit Banga,
@iamrohitbanga: Jeśli nie ma opcji „Użyj domyślnej bramy w sieci zdalnej”, prawdopodobnie ta strona umieszcza cię w piaskownicy, więc nie możesz mieć obu połączeń na tym samym komputerze.
harrymc
0

Stare pytanie, wciąż aktualne. Wędrowałem w obie strony w poszukiwaniu odpowiedzi, nie znalazłem niczego, co działałoby dobrze. Zastosowałem więc logikę: co powiesz na używanie IP v4 na twojej karcie sieciowej nr 1 i IP v6 na twojej karcie sieciowej nr 2?

Moja korporacyjna sieć VPN (w moim przypadku) kierowała cały ruch IP v4 tylko przez swój serwer.

Użyłem przykładowego statycznego adresu wewnętrznego IPv6 dla karty sieciowej nr 2 i udało mi się utworzyć połączenie punkt-punkt z innym komputerem w mojej sieci LAN. Zawsze będzie działać i pozostanie tym samym połączeniem VPN przed / po.

Jedzenie do namysłu.

princelrc85
źródło