Используя машины Windows 10 Pro вне офиса, сотрудники подключаются к моей рабочей сети, используя встроенный L2TP VPN-клиент.
Я хочу использовать разделённый туннелинг, чтобы интернет-трафик не из домена мог пройти напрямую без необходимости проходить через мой файрвол.
Есть конкретный сайт поставщика, давайте назовём его www.vendor.site, который доступен только через VPN из моей рабочей сети. Пользователи не могут получить доступ к этому сайту, если не подключены к VPN.
Возможно ли использовать разделённый туннелинг, чтобы направить все мои внутренние подключения И этот один конкретный домен через рабочий VPN, а всё остальное могло напрямую подключаться без добавления трафика на моё оборудование? Примерно через год у меня должен появиться гигабитный оптоволокно, и в этот момент меня не будет волновать этот вопрос, но до тех пор это облегчит мою нагрузку на пропускную способность в часы пик.
В целях безопасности дополнительным бонусом было бы предотвратить передачу трафика из интернета через рабочие ноутбуки на мою сеть.
Разве нельзя просто настроить маршруты через VPN на клиентских устройствах, содержащие IP-адрес за доменным именем поставщика, как это делается с вашими локальными сетями?
Если вы решите эту проблему с помощью маршрутов (принуждая адрес поставщика проходить через ваш туннель), вам придётся исправлять это каждый раз, когда поставщик меняет IP-адрес.
Исправление этой проблемы с помощью конфигурации прокси (всегда доступ к *.vendor.com через прокси в главном офисе) будет, вероятно, менее хрупким.
У поставщиков обычно есть перечень своих адресов IP для таких случаев.
Просто погуглите это или свяжитесь с ними и добавьте их сеть в ваш разделённый туннель.
Как вы настраиваете клиент? Включение разделённого туннелинга и определение сетей (неважно, являются ли они публичными или частными) можно настроить с помощью скрипта. Этот документ должен содержать большинство информации: Windows VPN technical guide | Microsoft Learn
У меня настроен IKEv2 VPN, используя этот метод (через PS-скрипт) на примерно 2000 клиентов. Работает на ура…
Да, вы можете. И я знаю, что некоторые поставщики блокируют доступ к серверу по IP.
Единственная проблема с разделёнными туннелями состоит в том, что это увеличивает риск, так что убедитесь, что безопасность на этих ноутбуках налажена. Помните, вы не контролируете домашнюю сеть конечного пользователя, поэтому не знаете, что у них может быть или не быть в их домашней сети, на их сети может быть общедоступный сервер или на их сети может быть червь, компрометирующий последние нулевые дни.
Поэтому я бы сказал, что с разделённым туннелем убедитесь, что ваши TRA завершены и актуальны, и получите подпись от руководства. Просто подумайте, насколько хуже будет, если чье-то подключение к работе вызовет внедрение программ-вымогателей на внутренние серверы.
В РЕДАКЦИИ: Я забыл добавить одну вещь.
Для безопасности более желательно либо предоставить оборудование пользователям, либо использовать виртуальные рабочие столы.
Похоже, вы используете решение Microsoft Windows 10 по VPN. Вы пытались вообще искать свой ответ? Да, они поддерживают разделённый туннелинг. Быстрый поиск в Google даст множество результатов.
Я поддерживаю это мнение, похоже на ту настройку, с которой я работаю. Настройте маршруты через VPN, и они будут проходить через VPN. Затем всё зависит от того, куда направляется ваш трафик VPN.
У нас есть клиенты, которые добавляют наш сайт в белый список, и поскольку большинство пользователей работают удаленно, мы просто обновляем маршруты, если инструмент обновляет IP. Возможно, в большинстве случаев вам всё же нужно будет направлять трафик через ваш файрвол.
Я пытаюсь решить аналогичную проблему, как и ОП. Удалённые пользователи подключаются к нашему офису через VPN. Я хотел бы принудительно направить домен Azure через VPN. В данный момент мы добавляем публичные IP-адреса пользователей в белый список.
Я никогда не настраивал прокси таким образом. Есть ли у вас какие-либо предложения по документации или руководствам, которые могут помочь? Мы используем OpenVPN и файрвол Sonicwall.
Не совсем это “сетевая” проблема. Настройте прокси (squid? haproxy? не важно). Настройте свои клиентские устройства для его использования (указать клик? wpad? конфигурация клиента vpn?). Готово.
Здесь вы настроите разделённый туннель. Вы должны быть в состоянии достичь того, что вы хотите, здесь. Я не знаком с Sonicwall, поэтому не могу дать вам точные инструкции.
