Используя компьютеры с Windows 10 Pro вне офиса, пользователи подключаются к моей рабочей сети с помощью встроенного клиента L2TP VPN.
Я хочу использовать разделенный туннелинг, чтобы интернет-трафик, который не принадлежит домену, мог напрямую идти куда угодно без необходимости проходить через мой фаервол.
Существует конкретный сайт поставщика, назовем его www.vendor.site, который доступен только через VPN из моей рабочей сети. Пользователи не могут получить доступ к этому сайту, если они не подключены к VPN.
Можно ли использовать разделенный туннель для маршрутизации всех моих внутренних соединений И этого одного конкретного домена через рабочий VPN, а все остальное может напрямую подключаться, не нагружая моё оборудование? Примерно через год у меня должен появиться гигабитный оптоволоконный интернет, после чего я перестану волноваться и отключу разделенный туннелинг, но до тех пор это облегчит мою ситуацию с пропускной способностью в часы пик.
Что касается безопасности, то дополнительным бонусом было бы предотвратить прохождение трафика из интернета через рабочие ноутбуки домой в мою сеть.
Разве вы не можете просто прокинуть маршруты через VPN к клиентам, содержащие IP-адреса, связанные с доменом поставщика, как вы делаете с вашими внутренними сетями?
Если вы решите эту проблему с помощью маршрутов (принуждая адрес поставщика проходить через ваш туннель), вам придется исправлять это каждый раз, когда у поставщика изменится IP-адрес.
Исправление этой проблемы с помощью конфигурации прокси (всегда получать доступ к *.vendor.com через прокси в главном офисе) вероятно будет менее хрупким.
Является ли сайт поставщика частным IP?
Каков конечный пункт VPN на стороне корпоративной сети? Это то место, где вы будете вносить изменения в настройки и маршрутизацию.
У поставщиков обычно есть их IP-адреса для таких случаев.
Просто поищите их в Google или свяжитесь с ними и добавьте их сеть в ваш разделенный туннель.
Как вы настраиваете клиент? Включение разделенного туннелинга и определение сетей (не важно, являются ли они публичными или частными) может быть автоматизировано. Этот документ должен содержать основную информацию: Windows VPN technical guide | Microsoft Learn
У меня настроен VPN IKEv2 с использованием этого метода (через PS-скрипт) на около 2000 клиентов. Работает отлично…
Да, вы можете. И я знаю, что некоторые поставщики блокируют доступ к серверам по IP-адресам.
Единственная проблема с разделенными туннелями заключается в том, что это увеличивает риск, так что убедитесь, что на этих ноутбуках есть средства безопасности. Помните, что вы не контролируете домашнюю сеть конечного пользователя, и вы не знаете, что у них может быть или не быть в их домашней сети, там может быть публично доступный сервер или какая-то червь в их сети, компрометирующая последний нулевой день.
Так что я бы сказал с разделенным туннелем убедитесь, что ваши TRA завершены и актуальны, и получите подтверждение руководства. Просто подумайте, насколько хуже было бы, если бы чье-то подключение к работе вызвало распостранение программ-вымогателей на внутренние серверы.
ДОПОЛНЕНИЕ: я забыл добавить одну вещь.
Для безопасности более целесообразно предоставить оборудование пользователям или виртуальные рабочие столы.
Похоже, вы используете решение VPN Microsoft Windows 10. Пробовали ли вы сами искать ответ? Да, они поддерживают разделенный туннелинг. Быстрый поиск в Google даст множество результатов.
Я поддерживаю это, аналогично настройке, с которой я работаю. Прокиньте маршруты через VPN, и оно пройдет через VPN. Затем дальше все зависит от того, куда направляется ваш трафик VPN.
У нас клиенты вносят наш сайт в белый список, и с большинством пользователей удаленно мы просто обновляем маршруты, если инструмент обновляет IP. Вы бы, вероятно, в большинстве случаев хотели бы пропустить трафик через ваш фаервол.
Я ищу решение аналогичной проблемы, как у OP. Удаленные пользователи подключаются через VPN в наш офис. Я хотел бы заставить Azure домен проходить через VPN. Сейчас мы вносим публичные IP-адреса пользователей в белый список.
Я никогда не настраивал прокси вот таким образом. Есть ли у вас какие-либо предложения по документации или руководствам, которые могут помочь с этим? Мы используем OpenVPN и фаервол Sonicwall.
Нет, сайт поставщика находится в интернете, он просто отвергает любое соединение, которое не проходит через VPN из моего офиса.
Вы можете просто прокинуть маршрут к IP поставщика без перехвата DNS.
Вау, меня минусуют, когда OP не проявил никаких усилий? Ладно.
Это не «сетевой» вопрос, как таковой. Установите прокси (squid? haproxy? что угодно). Настройте ваши клиентские устройства на его использование (указание по клику? wpad? конфигурация клиента vpn?). Готово.
Это будет применимо, если это был бы частный IP-адрес?
Пробовать не повредит, должно сработать, если он знает, как маршрутизировать это к фаерволу/роутеру.
Спасибо. Вы дали мне что-то, с чем можно поработать этим утром.
