Je dělené tunelování bezpečné?

Je to kompromis, který není ve své podstatě bezpečný nebo nebezpečný. Každá vyloučená aplikace nebo adresa URL obchází ochranu soukromí VPN. Pro necitlivý provoz (streamování, aktualizace softwaru, přístup k domácí síti) je kompromis v pořádku a šetří šířku pásma. Pro citlivý provoz je bezpečnější plné tunelování.

Mám použít split-include nebo split-exclude?

Pro spotřebitele je split-exclude obecně bezpečnější – vše je ve výchozím nastavení chráněno, můžete odhlásit konkrétní aplikace, které potřebují přímý přístup. Pro podniky s definovaným seznamem podnikových aplikací je split-include běžné – pouze podnikové aplikace procházejí podnikovou VPN.

Umožňuje mi rozdělené tunelování sledovat Netflix rychleji?

Často ano. Streamovací služby často omezují nebo blokují připojení VPN, a i když tomu tak není, může zvýšená latence přeskoku VPN snížit kvalitu streamování. Vyloučení streamovací aplikace z tunelu umožňuje přímé připojení plnou rychlostí.

Mohu rozdělit tunel podle webových stránek?

Některé sítě VPN (Surfshark's Bypasser, NordVPN na určitých platformách, rozšíření prohlížeče) podporují rozdělené tunelování na základě adresy URL nebo domény. Jiné podporují pouze úroveň aplikace (celý proces prohlížeče je v tunelu nebo mimo něj). Zkontrolujte dokumentaci konkrétní VPN.

Proč došlo k chybě úniku DNS ExpressVPN?

Implementace rozděleného tunelování Windows měla chybu, že mezi květnem 2022 a únorem 2024 unikaly dotazy DNS z aplikací, které měly být z tunelu vyloučeny. Chyba konkrétně ovlivnila interakci mezi rozděleným tunelováním a systémovým DNS resolverem. ExpressVPN to opravilo na začátku roku 2024. Tato epizoda je kanonickou případovou studií, proč by uživatelé rozděleného tunelu měli pravidelně ověřovat své nastavení pomocí testu těsnosti.

Vysvětlení rozděleného tunelování: Kdy obejít vaši VPN a kdy ne

Rozdělené tunelování vám umožňuje směrovat některé aplikace přes vaši VPN a jiné přímo. Šetří šířku pásma, opravuje podivnosti streamovací aplikace a umožňuje vám používat domácí tiskárnu při práci s VPN. Pokud jej špatně nakonfigurujete, vytváří také skutečné bezpečnostní kompromisy. Toto je praktický průvodce: co to je, kdy to použít, kdy to nechat vypnuté a jak to implementuje každá velká VPN.

Celé tělo článku je uvedeno níže v angličtině.

Co vlastně dělá dělené tunelování

Ve výchozím nastavení VPN směruje vše šifrovaným tunelem. Váš pracovní e-mail, stream Netflix, vyhledávání DNS, aktualizace softwaru – to vše jde nejprve na výstupní server VPN a poté do cíle. Toto je „úplné tunelování“.

Dělené tunelování některé z těchto tras obrátí. Konkrétní aplikace, adresy URL nebo rozsahy IP jdou přímo na internet namísto přes VPN. Rozdělení se děje na úrovni operačního systému – směrovací tabulka říká jádru „odeslat desktopovou aplikaci Slack přes rozhraní VPN, odeslat Spotify přes běžné rozhraní Wi-Fi.“

Dvě varianty

Split-include prochází těmito nejběžnějšími VPN/Vše ostatní: přímo." Výchozí nastavení, přihlášení k tunelu.
Split-exclude (nebo inverzní rozdělené tunelování): "Vše jde přes VPN. Kromě těchto konkrétních aplikací/URL/IP jde přímo." Výchozí nastavení, odhlášení z tunelu.

Pro většinu spotřebitelských scénářů je bezpečnější výchozí nastavení rozdělené vyloučení – vše je chráněno, pokud výslovně nerozdělíte výjimky. U podnikových nasazení je split-include běžnější – pouze podnikové aplikace procházejí firemní VPN, vše ostatní využívá přímé připojení uživatele. "Firefox jde přes VPN, Slack ne." Uživatelsky nejpřívětivější. Funguje na Windows, Android, moderní macOS (přes NetworkExtension framework) a Linux (přes netns nebo eBPF).

URL/založené na doméně: směrování podle názvu cílového hostitele. "work-app.company.com přes VPN, vše ostatní přímo." Vyžaduje, aby se klient VPN před rozhodnutím o tunelu integroval s DNS, aby věděl, ke které doméně se připojujete.

IP/založené na CIDR: směrování podle cílové IP adresy. "10.0.0.0/8 přes VPN, vše ostatní přímo." Původní a nejnižší metoda. Funguje všude, ale vyžaduje předem znát rozsahy IP.

Když má rozdělené tunelování smysl

Streamování a hraní místního obsahu

Mnoho streamovacích služeb a her má horší výkon než VPN – přidaná latence, občasné blokování IP. Rozdělené tunelování umožňuje Netflix nebo Steam připojit se přímo, zatímco vaše aplikace citlivé na soukromí (prohlížeč, messenger) zůstanou tunelované. Běžný spotřebitelský případ použití.

Přístup k zařízení v domácí síti

Pokud jste připojeni k síti VPN, váš notebook nevidí vaši domácí tiskárnu, NAS nebo zařízení chytré domácnosti na 192.168.1.x. Vyloučení místní podsítě z tunelu obnoví přístup k síti LAN, aniž by došlo k ohrožení soukromí VPN při internetovém provozu. Rozdělené tunelování vám umožní vyčlenit pouze tyto aplikace, které budou přímo fungovat, zatímco vše ostatní zůstane chráněno. (Lepší než úplné vypnutí VPN.)

Enterprise: M365 rozdělený tunel

Microsoft publikuje aktualizovaný seznam koncových bodů M365 (Teams, Outlook, OneDrive, SharePoint) a výslovně doporučuje jejich rozdělení a vyloučení z podnikových VPN. Objem provozu M365 od vzdálené pracovní síly by jinak zahltil koncentrátor VPN. Směrování Direct-to-M365 odstraňuje úzké místo bez ohrožení zabezpečení, protože M365 má vlastní moderní ověřování a šifrování.

Necitlivý provoz s vysokou šířkou pásma

Aktualizace softwaru, stahování her, videokonference pro veřejné služby. Tunelování těchto plýtvání šířkou pásma poskytovatele VPN a přidávání latence bez přínosu pro ochranu soukromí.

Kdy NE rozdělit tunel

Pokud přesně nerozumíte, které aplikace kam směřují. Špatně nakonfigurované, co si myslíte, že dělené tunely odhalují chráněno.
Pokud jste v nepřátelské síti a chcete úplné soukromí. Veřejná Wi-Fi, hotelové sítě, cenzurované země – úplné tunelování je bezpečnější.
Pokud se snažíte porazit cenzuru. Vše, co jde přímo, je viditelné pro cenzora; Smyslem VPN je vše skrýt.
Pokud používáte VPN pro pracovní postup citlivý na anonymitu. I jediné přímé připojení (vyhledávání DNS, plugin prohlížeče, telemetrie) prosakuje identitu.

Tunel zabezpečení88 deliberatelyZPL4XPL udělá díry do ochrany VPN. Každá výjimka je:
A připojení, které obchází ochranu DNS VPN.
A připojení viditelné pro jakoukoli síť, ve které se fyzicky nacházíte.
A připojení, které odhalí vaši skutečnou IP do cíle. vystaven.
Standardní rada: upřednostňujte split-exclude před split-include (bezpečnější výchozí nastavení), seznam výjimek udržujte krátký, pravidelně jej kontrolujte.

Implementace napříč hlavními VPN

NordX, Android Appling-based Windows +18 Omezeno na macOS.
ExpressVPN: na aplikaci na všech hlavních platformách. Rozdělené tunelování ve Windows mělo od května 2022 do února 2024 významnou chybu s únikem DNS.
Surfshark: "Bypasser" – založený na aplikaci a na adrese URL v systémech Windows a Android.
PIAX-based, Linux na Windows, 0XPIAX-based app-PLZ Android.
Mullvad: rozdělené tunelování příkazového řádku/CLI na všech platformách; méně uhlazené uživatelské rozhraní.
ProtonVPN: rozdělené tunelování na všech hlavních platformách, založené na aplikacích a založené na IP.
Windscribe: vestavěný test rozšíření prohlížeče PL, který funguje mimořádně podrobně43 jak bylo zamýšleno
Připojte se k vaší VPN s nakonfigurovaným rozděleným tunelováním.
Otevřete prohlížeč, který je in tunel — navštivte naši domovskou stránku a ověřte, že vaše IP zobrazuje ukončení VPN.XPLZ53PLX
Otevřete prohlížeč nebo aplikaci XPLCludX55, která' je zobrazena vaše skutečná IP.
Spusťte náš test úniku DNS v obou – DNS by měl sledovat stejné směrování jako provoz.
Spusťte náš test úniku full VPN a ověřte, že úniky WebRTC a IPv6 neobcházejí config.
Překvapivé chyby konfigurace jsou běžné. Chyba ExpressVPN s 21měsíčním únikem DNS se konkrétně týkala pouze uživatelů rozděleného tunelu – testování by ji zachytilo dříve než případné odhalení.

Často kladené otázky

Je dělené tunelování bezpečné?: Je to kompromis, který není ve své podstatě bezpečný nebo nebezpečný. Každá vyloučená aplikace nebo adresa URL obchází ochranu soukromí VPN. Pro necitlivý provoz (streamování, aktualizace softwaru, přístup k domácí síti) je kompromis v pořádku a šetří šířku pásma. Pro citlivý provoz je bezpečnější plné tunelování.
Mám použít split-include nebo split-exclude?: Pro spotřebitele je split-exclude obecně bezpečnější – vše je ve výchozím nastavení chráněno, můžete odhlásit konkrétní aplikace, které potřebují přímý přístup. Pro podniky s definovaným seznamem podnikových aplikací je split-include běžné – pouze podnikové aplikace procházejí podnikovou VPN.
Umožňuje mi rozdělené tunelování sledovat Netflix rychleji?: Často ano. Streamovací služby často omezují nebo blokují připojení VPN, a i když tomu tak není, může zvýšená latence přeskoku VPN snížit kvalitu streamování. Vyloučení streamovací aplikace z tunelu umožňuje přímé připojení plnou rychlostí.
Mohu rozdělit tunel podle webových stránek?: Některé sítě VPN (Surfshark's Bypasser, NordVPN na určitých platformách, rozšíření prohlížeče) podporují rozdělené tunelování na základě adresy URL nebo domény. Jiné podporují pouze úroveň aplikace (celý proces prohlížeče je v tunelu nebo mimo něj). Zkontrolujte dokumentaci konkrétní VPN.
Proč došlo k chybě úniku DNS ExpressVPN?: Implementace rozděleného tunelování Windows měla chybu, že mezi květnem 2022 a únorem 2024 unikaly dotazy DNS z aplikací, které měly být z tunelu vyloučeny. Chyba konkrétně ovlivnila interakci mezi rozděleným tunelováním a systémovým DNS resolverem. ExpressVPN to opravilo na začátku roku 2024. Tato epizoda je kanonickou případovou studií, proč by uživatelé rozděleného tunelu měli pravidelně ověřovat své nastavení pomocí testu těsnosti.