Lo split tunneling è sicuro?

È un compromesso, non intrinsecamente sicuro o pericoloso. Ogni app o URL escluso ignora le protezioni della privacy della VPN. Per il traffico non sensibile (streaming, aggiornamenti software, accesso alla rete domestica) il compromesso va bene e consente di risparmiare larghezza di banda. Per il traffico sensibile, il tunneling completo è più sicuro.

Dovrei usare split-include o split-exclude?

Per i consumatori, l'esclusione divisa è generalmente più sicura: tutto è protetto per impostazione predefinita, si disattivano app specifiche che necessitano di accesso diretto. Per le aziende con un elenco di app aziendali definito, l'inclusione divisa è comune: solo le app aziendali passano attraverso la VPN aziendale.

Lo split tunneling mi consente di guardare Netflix più velocemente?

Spesso sì. I servizi di streaming spesso limitano o bloccano le connessioni VPN e, anche quando non lo fanno, la latenza aggiuntiva dell'hop VPN può ridurre la qualità dello streaming. L'esclusione dell'app di streaming dal tunnel consente di connettersi direttamente alla massima velocità.

Posso dividere il tunnel per sito web?

Alcune VPN (Bypasser di Surfshark, NordVPN su alcune piattaforme, estensioni del browser) supportano lo split tunneling basato su URL o dominio. Altri supportano solo a livello di app (l'intero processo del browser è dentro o fuori dal tunnel). Controlla la documentazione specifica della VPN.

Perché si è verificato il bug relativo alla perdita DNS di ExpressVPN?

L'implementazione dello split tunneling di Windows presentava un difetto che, tra maggio 2022 e febbraio 2024, faceva trapelare query DNS da app che avrebbero dovuto essere escluse dal tunnel. Il bug ha interessato in particolare l'interazione tra lo split tunneling e il risolutore DNS del sistema. ExpressVPN lo ha corretto all'inizio del 2024. L'episodio è il caso di studio canonico del motivo per cui gli utenti di tunnel separati dovrebbero verificare periodicamente la propria configurazione con un test di tenuta.

Spiegazione dello Split Tunneling: quando bypassare la VPN e quando no

Lo split tunneling ti consente di instradare alcune app attraverso la tua VPN e altre direttamente. Risparmia larghezza di banda, risolve le stranezze delle app di streaming e ti consente di utilizzare la stampante di casa mentre utilizzi una VPN di lavoro. Crea anche veri e propri compromessi in termini di sicurezza se lo si configura in modo errato. Questa è la guida pratica: cos'è, quando usarlo, quando lasciarlo spento e come lo implementano tutte le principali VPN.

Il corpo completo dell'articolo è fornito in inglese di seguito.

Che cosa fa effettivamente lo split tunneling

Per impostazione predefinita, una VPN instrada tutto attraverso il tunnel crittografato. La tua email di lavoro, il tuo streaming Netflix, le tue ricerche DNS, gli aggiornamenti software: tutto va prima al server di uscita VPN, quindi alla destinazione. Questo è il "tunneling completo".

tunneling diviso inverte alcuni di questi percorsi. App, URL o intervalli IP specifici vengono inviati direttamente a Internet anziché tramite la VPN. La divisione avviene a livello del sistema operativo: la tabella di routing dice al kernel "invia l'app desktop Slack tramite l'interfaccia VPN, invia Spotify tramite la normale interfaccia Wi-Fi". Per impostazione predefinita, attiva il tunnel.

Split-exclude (o tunneling diviso inverso): "Tutto passa attraverso la VPN, tranne che queste app/URL/IP specifici vanno direttamente." Per impostazione predefinita, disattivazione del tunnel.

Per la maggior parte degli scenari consumer, l'esclusione divisa è l'impostazione predefinita più sicura: tutto è protetto a meno che non si ritaglino esplicitamente delle eccezioni. Per le distribuzioni aziendali, l'inclusione divisa è più comune: solo le app aziendali passano attraverso la VPN aziendale, tutto il resto utilizza la connessione diretta dell'utente.

Le tre granularità

Basato su app: percorso attraverso il quale il processo ha avviato la connessione. "Firefox utilizza la VPN, Slack no." Il più facile da usare. Funziona su Windows, Android, macOS moderni (tramite framework NetworkExtension) e Linux (tramite netns o eBPF).
URL/domain-based: instrada in base al nome host di destinazione. "work-app.company.com tramite VPN, tutto il resto direttamente." Richiede l'integrazione del client VPN con DNS per sapere a quale dominio ti stai connettendo prima della decisione sul tunnel.
IP/CIDR-based: instradamento in base all'IP di destinazione. "10.0.0.0/8 tramite VPN, tutto il resto direttamente." Il metodo originale e di livello più basso. Funziona ovunque ma richiede la conoscenza anticipata degli intervalli IP.

Quando ha senso lo split tunneling

Streaming e giochi di contenuti locali

Molti servizi di streaming e giochi hanno prestazioni peggiori su una VPN: latenza aggiuntiva, blocchi IP occasionali. Lo split tunneling consente a Netflix o Steam di connettersi direttamente mentre le tue app sensibili alla privacy (browser, messaggistica) rimangono nel tunnel. Caso d'uso comune da parte dei consumatori.

Accesso ai dispositivi di rete domestici

Se sei connesso a una VPN, il tuo laptop non può vedere la tua stampante domestica, il NAS o i dispositivi smart home su 192.168.1.x. L'esclusione della sottorete locale dal tunnel ripristina l'accesso LAN senza compromettere la privacy della VPN sul traffico Internet.

Banking e app che bloccano le VPN

Alcune banche, app di pagamento e servizi governativi bloccano gli IP VPN come antifrode. Lo split tunneling ti consente di ritagliare solo quelle app per andare direttamente mentre tutto il resto rimane protetto. (Meglio che disattivare completamente la VPN.)

Enterprise: tunnel diviso M365

Microsoft pubblica un elenco aggiornato di endpoint M365 (Teams, Outlook, OneDrive, SharePoint) e consiglia esplicitamente di escluderli in modo diviso dalle VPN aziendali. Il volume del traffico M365 proveniente da una forza lavoro remota saturerebbe altrimenti il concentratore VPN. Il routing diretto a M365 allevia il collo di bottiglia senza compromettere la sicurezza perché M365 dispone di autenticazione e crittografia moderne.

Traffico non sensibile con larghezza di banda pesante

Aggiornamenti software, download di giochi, videoconferenze per servizi pubblici. Il tunneling di questi sprechi la larghezza di banda del provider VPN e aggiunge latenza senza alcun vantaggio in termini di privacy.

Quando NON eseguire lo split-tunnel

Se non capisci esattamente quali app stanno instradando dove. I tunnel divisi non configurati correttamente espongono ciò che ritieni sia protetto.
Se ti trovi in una zona ostile e desideri una privacy completa. Wi-Fi pubblico, reti di hotel, paesi censurati: il tunneling completo è più sicuro.
Se stai cercando di sconfiggere la censura. Tutto ciò che va diretto è visibile al censore; lo scopo principale della VPN è nascondere tutto.
Se stai utilizzando una VPN per un flusso di lavoro sensibile all'anonimato. Anche una singola connessione diretta (ricerca DNS, plug-in del browser, telemetria) fa trapelare l'identità.

Compromessi in termini di sicurezza

Il tunneling diviso crea deliberatamente buchi nella VPN protezione. Ogni esclusione è:

Una connessione che bypassa la protezione DNS della VPN.
Una connessione visibile a qualsiasi rete su cui ti trovi fisicamente.
Una connessione che rivela il tuo IP reale alla sua destinazione.
Una superficie di attacco: se un sito dannoso è in qualche modo nell'elenco di bypass, il tuo IP reale viene esposto.

LIl consiglio standard: preferire split-exclude a split-include (impostazione predefinita più sicura), mantenere l'elenco di esclusione breve e controllarlo periodicamente.

Implementazione nelle principali VPN

NordVPN: Split Tunneling su Windows + Android, basato su app. Limitato su macOS.
ExpressVPN: per app su tutte le principali piattaforme. Lo split tunneling di Windows ha avuto un notevole bug di perdita DNS da maggio 2022 a febbraio 2024.
Surfshark: "Bypasser": basato su app e basato su URL su Windows e Android.
PIA: basato su app e basato su IP su Windows, macOS, Linux, Android.
Mullvad: tunneling diviso da riga di comando/CLI su tutte le piattaforme; UI meno raffinata.
ProtonVPN: tunneling diviso su tutte le principali piattaforme, basato su app e basato su IP.
Windscribe: tunneling diviso con estensione browser integrata particolarmente granulare.

Come verificare che il tuo tunnel diviso funzioni come previsto

Connettiti alla tua VPN con lo split tunneling configurato.
Apri un browser che sia in il tunnel: visita la nostra home page e verifica che il tuo IP mostri l'uscita VPN.
Apri un browser o un'app che sia escluso: verifica che mostri il tuo reale IP.
Esegui il nostro test di tenuta DNS in entrambi: il DNS deve seguire lo stesso routing del traffico.
Esegui il nostro test di tenuta VPN completo per verificare che le perdite di WebRTC e IPv6 non stiano bypassando la tua configurazione.

Si verificano sorprendenti errori di configurazione comune. Il bug di perdita DNS di 21 mesi di ExpressVPN ha interessato in modo specifico solo gli utenti di tunnel separati: i test lo avrebbero rilevato prima dell'eventuale divulgazione.

Domande frequenti

Lo split tunneling è sicuro?: È un compromesso, non intrinsecamente sicuro o pericoloso. Ogni app o URL escluso ignora le protezioni della privacy della VPN. Per il traffico non sensibile (streaming, aggiornamenti software, accesso alla rete domestica) il compromesso va bene e consente di risparmiare larghezza di banda. Per il traffico sensibile, il tunneling completo è più sicuro.
Dovrei usare split-include o split-exclude?: Per i consumatori, l'esclusione divisa è generalmente più sicura: tutto è protetto per impostazione predefinita, si disattivano app specifiche che necessitano di accesso diretto. Per le aziende con un elenco di app aziendali definito, l'inclusione divisa è comune: solo le app aziendali passano attraverso la VPN aziendale.
Lo split tunneling mi consente di guardare Netflix più velocemente?: Spesso sì. I servizi di streaming spesso limitano o bloccano le connessioni VPN e, anche quando non lo fanno, la latenza aggiuntiva dell'hop VPN può ridurre la qualità dello streaming. L'esclusione dell'app di streaming dal tunnel consente di connettersi direttamente alla massima velocità.
Posso dividere il tunnel per sito web?: Alcune VPN (Bypasser di Surfshark, NordVPN su alcune piattaforme, estensioni del browser) supportano lo split tunneling basato su URL o dominio. Altri supportano solo a livello di app (l'intero processo del browser è dentro o fuori dal tunnel). Controlla la documentazione specifica della VPN.
Perché si è verificato il bug relativo alla perdita DNS di ExpressVPN?: L'implementazione dello split tunneling di Windows presentava un difetto che, tra maggio 2022 e febbraio 2024, faceva trapelare query DNS da app che avrebbero dovuto essere escluse dal tunnel. Il bug ha interessato in particolare l'interazione tra lo split tunneling e il risolutore DNS del sistema. ExpressVPN lo ha corretto all'inizio del 2024. L'episodio è il caso di studio canonico del motivo per cui gli utenti di tunnel separati dovrebbero verificare periodicamente la propria configurazione con un test di tenuta.