Решения о маршрутизации для VPN VPN routing decisions
Относится к: Applies to
- Windows 10 Windows10
- Windows 10 Mobile Windows10 Mobile
Сетевые маршруты необходимы сетевому стеку, чтобы понять, какой интерфейс использовать для исходящего трафика. Network routes are required for the stack to understand which interface to use for outbound traffic. Один из важнейших критериев принятия решений о конфигурация VPN состоит в том, хотите ли вы отправлять все данные по VPN (принудительное использование тоннеля) или передавать только часть данных по VPN (разделение туннеля). One of the most important decision points for VPN configuration is whether you want to send all the data through VPN (force tunnel) or only some data through the VPN (split tunnel). Этот выбор влияет на планирование конфигурации и ресурсов, а также на уровень безопасности соединения. This decision impacts the configuration and the capacity planning, as well as security expectations from the connection.
Конфигурация разделение туннеля Split tunnel configuration
В конфигурации с разделением туннеля можно указать маршруты, которые будут проходить через VPN, а весь другой трафик будут проходить через физический интерфейс. In a split tunnel configuration, routes can be specified to go over VPN and all other traffic will go over the physical interface.
Маршруты можно настроить с помощью параметра VPNv2/имя_профиля/RouteList в разделе Поставщик службы конфигурации (CSP) VPNv2. Routes can be configured using the VPNv2/ProfileName/RouteList setting in the VPNv2 Configuration Service Provider (CSP).
Для каждого элемента маршрута в списке можно указать следующие параметры. For each route item in the list, the following can be specified:
Адрес: VPNv2/ProfileName/RouteList/routeRowId/Address Address: VPNv2/ProfileName/RouteList/routeRowId/Address
Размер префикса: VPNv2/ProfileName/RouteList/routeRowId/Prefix Prefix size: VPNv2/ProfileName/RouteList/routeRowId/Prefix
Маршрут исключения: VPNv2/ProfileName/RouteList/routeRowId/ExclusionRoute Exclusion route: VPNv2/ProfileName/RouteList/routeRowId/ExclusionRoute
VPN-платформа Windows теперь позволяет указать маршруты исключения, которые не должны проходить через физический интерфейс. Windows VPN platform now supports the ability to specify exclusion routes that specifically should not go over the physical interface.
Для приложений VPN платформы UWP маршруты также можно добавить во время подключении через сервер. Routes can also be added at connect time through the server for UWP VPN apps.
Конфигурация принудительного использования туннеля Force tunnel configuration
В конфигурации с принудительным туннелированием весь трафик проходит через VPN. In a force tunnel configuration, all traffic will go over VPN. Это конфигурация по умолчанию, которая используется, если маршруты не заданы. This is the default configuration and takes effect if no routes are specified.
Этот параметр предназначен только для обработки записей маршрутизации. The only implication of this setting is the manipulation of routing entries. Для принудительного туннеля VPN V4 и V6 маршруты по умолчанию (например, In the case of a force tunnel, VPN V4 and V6 default routes (for example. 0.0.0.0/0) добавляются в таблицу маршрутизации с более низкой метрикой, чем для других интерфейсов. 0.0.0.0/0) are added to the routing table with a lower metric than ones for other interfaces. При этом трафик передается через VPN, пока не существует маршрута через физический интерфейс. This sends traffic through the VPN as long as there isn’t a specific route on the physical interface itself.
Для встроенной VPN этой настройкой можно управлять с помощью параметра MDM VPNv2/имя_профиля/NativeProfile/RoutingPolicyType. For built-in VPN, this decision is controlled using the MDM setting VPNv2/ProfileName/NativeProfile/RoutingPolicyType.
Для подключаемого модуля VPN платформы UWP это свойство управляется непосредственно приложением. For a UWP VPN plug-in, this property is directly controlled by the app. Если подключаемый модуль VPN указывает маршруты по умолчанию для IPv4 и IPv6 как единственные два маршрута включения, платформа VPN отмечает, что для туннель используется для подключения принудительно. If the VPN plug-in indicates the default route for IPv4 and IPv6 as the only two Inclusion routes, the VPN platform marks the connection as Force Tunneled.
Настройка маршрутизации Configure routing
Сведения о настройке XML см. в разделе Параметры профиля VPN и VPNv2 CSP. See VPN profile options and VPNv2 CSP for XML configuration.
При настройке VPN-профиля в Microsoft Intune установите флажок, чтобы включить конфигурацию с разделением туннеля. When you configure a VPN profile in Microsoft Intune, you select a checkbox to enable split tunnel configuration.
Затем в разделе Корпоративные границы добавьте маршруты, которые будут использовать VPN-подключение. Next, in Corporate Boundaries, you add the routes that should use the VPN connection.
Безопасность VPN: как защититься от утечки VPN-трафика
Независимо от того, по какой причине вы выбрали использовать VPN, главное — это сохранность ваших данных. Организуя доступ через VPN, мы полагаем, что весь отправляемый и получаемый через шифрованный VPN-канал трафик надежно защищен. Но не стоит забывать о том, что какую бы надежную VPN мы не использовали, возможна утечка VPN-трафика, и в этом нет вины поставщика VPN.
Не верьте уловкам продавцов, что у них самая безопасная VPN на планете. Безусловно, правильный выбор поставщика VPN – половина успеха, но повышение безопасности используемого VPN только в ваших руках. Обеспечить 100% безопасность данных невозможно, но можно снизить вероятность утечки до минимума.
Один из вариантов утечки VPN-трафика – когда трафик, который должен идти по защищенному каналу (VPN), идет по открытому каналу. Причиной такой утечки может быть ситуация, когда потеряно подключение к VPN серверу по различным причинам, например, если используется бесплатная или очень дешевая VPN. Чтобы не проверять каждую минуту работает ли VPN, лучше потратить 10-15 минут на то чтобы повысить безопасность VPN и свести к минимуму риск утечки VPN трафика.
Пропало VPN-подключение – как защититься от утечки
Для предотвращения такой утечки необходимо запретить передавать защищаемый трафик по открытой сети. Один из вариантов решения проблемы – запрет трафика от конкретного приложения, если зафиксированы разрывы VPN.
Доступ через VPN и запрет трафика от приложений с использованием стандартных средств Windows
Запретить трафик при обрыве VPN-соединения можно без использования сторонних приложений, например, используя утилиту taskkill.exe, которая удалит процесс, использующий трафик через VPN.
Для этого создаем задачу в «Планировщике задач Windows». Запускаем планировщик, нажав сочетание клавиш Win и R, в открывшемся окне вводим taskschd.msc и нажимаем кнопку «ОК».
В открывшемся окне планировщика задач выбираем пункт меню «Создать» -> «Задачу…».
При этом откроется окно создания задачи, где необходимо указать название задачи – произвольное, к примеру, как у нас, – VPN_utorrent, чтобы в дальнейшем ориентироваться на то, что данная задача создана именно для приложения Utorrent. Задаем параметр «Выполнять с наивысшими правами».
Далее заполняем параметры задачи в закладках «Триггеры» и «Действия». В закладке «Тригеры» выбираем «Журнал Приложение», Источник выбираем RasClient (это клиент удаленного доступа Windows), код события указываем 20226. Нажимаем кнопку «ОК» и переходим к заполнению закладки «Действия».
В закладке «Действия» жмем кнопку «Создать» и в открывшемся окне задаем программу taskkill.exe, а в аргументах указываем /f /im utorrent.exe. Нажимаем кнопку «ОК» и закрываем «Планировщик».
Таким образом, если пропадет VPN-подключение, процесс приложения будет остановлен и доступ к интернету для указанного приложения, в нашем случае utorrent.exe, будет ограничен.
Для того чтобы при разрывах VPN полностью блокировался весь трафик можно воспользоваться способом, описанным в статье. При этом будет блокирован абсолютно весь трафик, в том числе и открытый.
Отправка всего трафика через защищенную VPN
Чтобы пускать весь трафик через VPN необходимо удалить из маршрутизации шлюз интернета по умолчанию, т.к. если будут зафиксированы разрывы VPN трафик VPN пойдет через него. Для этого необходимо запустить командную строку от имени администратора, например, в строке поиска ввести cmd.
При этом в результатах отобразится классическое приложение «Командная строка». Щелкаем по ней правой кнопкой мыши и выбираем «Запустить от имени администратора».
В открывшемся окне командной строки в необходимо ввести следующие команды:
route delete 0.0.0.0 mask 0.0.0.0 route add –p 1.1.1.1 mask 255.255.255.0 192.168.0.1 route add –p 0.0.0.0 mask 0.0.0.0 1.1.1.1 где: 192.168.0.1 — шлюз интернета, 1.1.1.1 — VPN-шлюз.
После ввода каждой команды необходимо нажимать клавишу «Enter» на клавиатуре, в результате должен появляться результат «ОК». Когда все команды введены и получен положительный результат, окно командной строки можно закрыть.
В результате данной настройки при потере соединения с сервером VPN пропадут все соединения – в том числе будет невозможен доступ к интернет ресурсам. Для отмены внесенных изменений необходимо ввести в командной строке команды заменив add –p на delete.
Также существуют специальные программы, которые несколько раз в секунду проверяют VPN-соединение для заданных приложений и приостанавливает их работу, если VPN соединение обрывается. В этом случае VPN-трафик не выходит за пределы защищенного соединения. Такие программы бывают как платные, так и бесплатные. Самые популярные из них VPN-watcher и VPNetMon.
Заключение
Таким образом, независимо от того какая VPN работает у вас, вы всегда можете повысить ее безопасность и предотвратить утечки VPN-трафика буквально за 10-15 минут. В статье изложены далеко не все способы предотвращения утечки VPN-трафика, если по каким-то причинам вы не смогли воспользоваться данными способами, пишите в комментариях с какими проблемами вы столкнулись.
Жду ваших вопросов в комментариях, ваш Mr. Whoer
Как пустить трафик отдельного приложения (не всех) через VPN?
желательно через бесплатный\триал режим какого-то VPN сервиса и без бубнов с перепрошивкой роутера, возможно есть какая-то программа которая может это сделать?
Если без бубнов, то на самом деле никак. Если VPN-сервис не поддерживает такой функции.
Из тех сервисов, которые точно это умеют:
Может ли меня отследить правительство, если я всё время буду юзать vpn?
Есть такой бородатый анекдот
Смотрите, вон скачет Неуловимый Джо!
А почему — неуловимый? Его что, поймать никто не может?
Естественно, найти при желании можно любого пользователя. Другое дело, что в большинстве случаев овчинка не стоит выделки.
Что такое VPN и для чего он нужен?
VPN (Virtual Private Network — виртуальная частная сеть) это технология которая позволяет обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети.
VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
Если сказать простыми словами VPN — это защищённый тунель.
1 1 4 · Хороший ответ
Как подключить постоянный VPN на андроид чтобы не приходилось постоянно залезать в настройки и его включать?
Попробуйте задать DNS-сервер от руки.
В Android P можно настроить свой DNS-сервер, который будет работать даже поверх мобильной сети. И все это без рута.
Открываем Настройки > Сеть и Интернет > Дополнительно > Персональный DNS-сервер. Выбираем Имя хоста поставщик персонального DNS-сервера и вбиваем нужный адрес.
Хитрость в том, что сюда нельзя вбить IP адрес, а нужен именно адрес хоста.
Как правильно экономить мобильный трафик? (заодно объясните, если можно, как отключить автоматом включающиеся видео и гифки. )?
Насчет экономии трафика — отключайте сотовые данные, когда не пользуетесь телефоном. Насчет отключения автоматического воспроизведения видео и GIF-файлов: заходите в настройки ВК и снимаете галочки с этих двух пунктов.