VPN: Czy cały ruch jest kierowany przez VPN, gdy jestem zalogowany?


22

Jeśli zaloguję się do wolnej sieci VPN z połączeniem tylko 15 k / s, kiedy spróbuję przejść do kernel.org lub innej strony, aby coś pobrać, czy wszystko jest kierowane przez tę inną sieć? (więc moja maksymalna prędkość dla wszystkich pobrań wynosi 15k / s?) Czy tylko żądania DNS są kierowane i nadal mogę uzyskać normalne prędkości pobierania, które byłbym w stanie uzyskać przed zalogowaniem się do routera?

Odpowiedzi:


24

To zależy od konfiguracji VPN. Aby sprawdzić, jak to jest w twoim przypadku, sprawdź bramę domyślną:

Windows (w wierszu polecenia):

route print

Linux (w konsoli)

netstat -nr

Poszukaj miejsca docelowego sieci 0.0.0.0 (Win) lub domyślnego (Linux). Jeśli jest ustawiony na lokalną bramę podsieci - nie cały ruch przechodzi przez VPN. W każdym innym przypadku - cały ruch przez VPN.


2
wydaje się, że netstat -nr działa również w systemie OS X.
Boy Baukema

8

W systemie Windows domyślna konfiguracja polega na wysyłaniu całego ruchu w dół połączenia VPN (tunelu), nawet jeśli jest on przeznaczony dla witryn spoza sieci prywatnej. Otwarcie sesji VPN bez wysyłania całego ruchu przez tunel VPN nazywa się „tunelowaniem dzielonym” i, o ile to możliwe, niesie ryzyko bezpieczeństwa. Dzięki dzielonemu tunelowaniu maszyna zdalna jest jednocześnie podłączona bezpośrednio do Internetu i sieci prywatnej, więc każde naruszenie bezpieczeństwa na maszynie zdalnej stanowi naruszenie bezpieczeństwa w sieci prywatnej. IOW, zaatakowany komputer zdalny zapewnia ścieżkę do sieci prywatnej, która omija zaporę sieci prywatnej. Nie dzieje się tak, gdy cały ruch ze zdalnego komputera jest wysyłany przez tunel VPN.


3
Ta możliwość zagrożenia dotyczy każdego systemu operacyjnego, nie tylko systemu Windows. Dla jasności.
JoelAZ

4

Jeśli używasz Windows Networking do łączenia się z VPN, przejdź do właściwości połączenia, wybierz kartę sieci, wybierz właściwości TCP / IP, kliknij Zaawansowane, odznacz „Użyj domyślnej bramy w sieci zdalnej”, aby zatrzymać cały ruch sieciowy (to nie oznacza obejmują zdalną sieć, tj. przeglądanie stron internetowych) przed przejściem przez VPN.


2

Korzystam z korporacyjnej sieci Aventail VPN z tymi samymi „problemami”.

Cały ruch sieciowy / kontrola sprawdza się w przypadku kilku sterowników filtrów sieciowych , takich jak w moim przypadku „Miniport harmonogramu pakietów”, „Miniport agenta sieciowego Odyssey”, „Miniport McAfee NDIS Filter” itp. Do tego dochodzi sterownik „ Filtr sieciowy Aventail VPN ” pod ukrytymi urządzeniami w sekcji Sterowniki niezgodne z Plug and Play można znaleźć w Menedżerze urządzeń.

Wydaje mi się, że celem Aventail VPN Filter jest wąchanie całego ruchu sieciowego i przekazywanie dalej przez tunel / połączenie / interfejs VPN.

Po prostu wyłącz go, aby odzyskać kontrolę nad tabelą tras. Nareszcie możesz dodać domyślną bramę do sieci domowej i trwałą trasę do sieci korporacyjnej.

Wikipedia o sterowniku filtra: Sterowniki filtra to opcjonalne sterowniki, które zwiększają wartość lub modyfikują zachowanie urządzenia i mogą nie być sterownikami urządzeń. Sterownik filtra może także obsługiwać jedno lub więcej urządzeń. Sterowniki filtrów górnego poziomu znajdują się nad głównym sterownikiem urządzenia (sterownik funkcji), natomiast sterowniki filtrów górnego poziomu znajdują się pod sterownikiem funkcji i nad sterownikiem magistrali.


1

Zależy to od sieci VPN, systemu operacyjnego, klienta itp. Na przykład SonicWall VPN będzie kierował tylko dane, dla których jest skonfigurowany.

Trasy systemu operacyjnego również muszą być skonfigurowane, aby trasy działały. Jeśli dostarczysz oprogramowanie VPN, możemy być w stanie udzielić Ci dodatkowej pomocy.


-1

Oto mój skrypt do wybierania numeru HyperRas / Aventail i przywracania domyślnej bramy do oryginalnej sieci lokalnej.

@echo off
::Your VPN network parameters
set _vpnnetwork=10.0.0.0
set _vpnmask=255.0.0.0

::GET Current Default Gateway IP
for /f "tokens=3" %%G IN ('route print 0.0.0.0^| find "Default Gateway"') DO (set _originalgw=%%G)

::Dialling
ngdial HyperRas -gui -prompt -status -icon

::Wait for Hyperras background config / sleep emulation for about 10 sec
::198.18.0.0/15 reserved for Network Interconnect Device Benchmark Testing [RFC5735]
ping 198.18.0.1 -w 10000 -n 1

::GET New RAS Default Gateway IP
for /f "tokens=3" %%G IN ('route print 0.0.0.0^| find "Default Gateway"') DO (set _rasgw=%%G)

::Set RAS route to corporate network
route add %_vpnnetwork% mask %_vpnmask% %_rasgw%

::Set Default Gateway to original
route add 0.0.0.0 mask 0.0.0.0 %_originalgw%

1
To nie odpowiada na pytanie.
James Mertz
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.