Як я можу контролювати, який трафік проходить через VPN?

Моя робота просто змінила політику щодо того, як ми можемо з'єднатись з дому - раніше я міг запустити шлюз, а потім схилитись до будь-яких внутрішніх машин, які мені потрібно було використовувати. Однак тепер я повинен використовувати VPN для підключення, і тоді я можу просто ssh безпосередньо до тих машин, які мені потрібні.

Це здорово, але я не хочу, щоб весь мій трафік проходив через VPN з різних причин. Він використовує клієнт мобільності Cisco AnyConnect, і я переглянув налаштування, які я міг знайти, але не можу знайти нічого про те, як вибрати, який трафік проходить через VPN, а який проходить через моє звичайне підключення до Інтернету.

Чи можу я налаштувати її на рівні програми - як завжди маршрутизувати Firefox через Інтернет, але Chrome через VPN? Або я можу налаштувати його для портового трафіку - встановити лише мій трафік SSH, щоб він проходив через мою VPN і залишав усе інше через звичайний Інтернет?

Ось чудовий документ про ручну настройку розділеного тунелю з боку системи (якщо це можливо). Ви можете керувати, куди ваш ПК Windows надсилає трафік, створюючи правила маршрутизації у вашій системі, а також спеціально керуючи інтерфейсами, які трафікує до певних діапазонів IP. Це, мабуть, найкращий спосіб досягти своєї мети без залучення ІТ-відділу вашої компанії, і це забезпечить весь ваш регулярний трафік залишає домашнє інтернет-з'єднання незалежно від використовуваного браузера. Це може не працювати залежно від конфігурації ІТ-адміністратора програмного забезпечення AnyConnect, але це загальна політика налаштування його для розділеного тунелю. Дивіться тут .

Відмінності в поведінці тунелів клієнта, розділеного для руху трафіку в підмережі

Клієнт AnyConnect та застарілий клієнт Cisco VPN (клієнт IPsec / IKEv1) ведуть себе по-різному при передачі трафіку на сайти в межах тієї ж підмережі, що і IP-адреса, призначена ASA. За допомогою AnyConnect клієнт передає трафік на всі сайти, визначені в налаштованій вами політиці розділеного тунелювання, і на всі сайти, що потрапляють в ту ж підмережу, що і IP-адреса, призначена ASA. Наприклад, якщо IP-адреса, призначена ASA, 10.1.1.1 з маскою 255.0.0.0, пристрій кінцевої точки передає весь трафік, призначений на 10.0.0.0/8, незалежно від політики розділеного тунелювання.

Навпаки, застарілий клієнт Cisco VPN передає трафік лише адресам, визначеним політикою розділеного тунелювання, незалежно від підмережі, призначеної клієнту.

Тому використовуйте мережну маску для призначеної IP-адреси, яка належним чином посилається на очікувану локальну підмережу

Ось документ: https://documentation.meraki.com/MX-Z/Client_VPN/Configuring_Split-tunnel_Client_VPN

Це може бути використано для перевірки того, що робить програмне забезпечення під час встановлення з'єднання, і, можливо, для ручного налаштування розділеного тунелю.

Я додам сюди кроки, на випадок, якщо посилання колись порушиться.

1) На мережевому адаптері, створеному програмним забезпеченням VPN, в розділі IPv4, Advanced, переконайтесь, що "Використовувати шлюз за замовчуванням у віддаленій мережі" не встановлено прапорець.

2) У вікні команди введіть: route print

3) Шукайте інтерфейс VPN у списку та зазначте, що це ідентифікатор (число, як 12). Потім можна додати конкретні маршрути, ввівши:

route add <destination subnet> mask <subnet mask> 0.0.0.0 IF <VPN adapter number> -p

напр.

route add 10.10.10.0 mask 255.255.255.0 0.0.0.0 IF 12 -p

Ось ще одне питання, яке задає те саме питання. Удачі!