Tunnelul divizat este sigur?

Este un compromis, nu în mod inerent sigur sau nesigur. Fiecare aplicație sau adresă URL exclusă ocolește protecțiile de confidențialitate ale VPN-ului. Pentru traficul nesensibil (streaming, actualizări de software, acces la rețeaua de domiciliu) compromisul este bun și economisește lățime de bandă. Pentru traficul sensibil, tunelul complet este mai sigur.

Ar trebui să folosesc split-include sau split-exclude?

Pentru consumatori, excluderea divizată este în general mai sigură - totul este protejat în mod implicit, renunțați la anumite aplicații care necesită acces direct. Pentru întreprinderile cu o listă definită de aplicații corporative, includerea împărțită este comună - numai aplicațiile corporative trec prin VPN-ul corporativ.

Split Tuning-ul îmi permite să văd Netflix mai repede?

De multe ori da. Serviciile de streaming limitează sau blochează frecvent conexiunile VPN și, chiar și atunci când nu o fac, latența suplimentară a hop-ului VPN poate degrada calitatea streamingului. Excluderea aplicației de streaming din tunel îi permite să se conecteze direct la viteză maximă.

Pot împărți tunelul pe site?

Unele VPN-uri (Surfshark's Bypasser, NordVPN pe anumite platforme, extensii de browser) acceptă URL-ul sau tunelul împărțit bazat pe domeniu. Alții acceptă doar la nivel de aplicație (întregul proces al browserului este în sau în afara tunelului). Verificați documentația VPN-ului specific.

De ce s-a produs eroarea de scurgere a DNS ExpressVPN?

Implementarea tunelului divizat Windows a avut un defect care, între mai 2022 și februarie 2024, a scurs interogări DNS de la aplicații care trebuiau excluse din tunel. Bug-ul a afectat în mod specific interacțiunea dintre tunelul divizat și soluția DNS de sistem. ExpressVPN l-a corectat la începutul anului 2024. Episodul este studiul de caz canonic pentru ce utilizatorii din tuneluri separate ar trebui să își verifice periodic configurația cu un test de scurgere.

Split Tunneling Explicat: Când să ocoliți VPN-ul și când nu

Split Tuning vă permite să direcționați unele aplicații prin VPN-ul dvs. și altele direct. Economisește lățime de bandă, remediază ciudățenia aplicației de streaming și vă permite să utilizați imprimanta de acasă în timp ce sunteți într-un VPN de la serviciu. De asemenea, creează compromisuri reale de securitate dacă o configurați greșit. Acesta este ghidul practic: ce este, când să-l folosești, când să-l oprești și cum îl implementează fiecare VPN important.

Întregul articol al articolului este oferit în limba engleză mai jos.

Ce face de fapt tunelul divizat

În mod implicit, un VPN direcționează everything prin tunelul criptat. E-mailul dvs. de serviciu, fluxul dvs. Netflix, căutările DNS, actualizările de software - toate merg mai întâi la serverul de ieșire VPN, apoi la destinație. Aceasta este „tunelizare completă”.

Tuneling divizat inversează unele dintre aceste rute. Aplicațiile, adresele URL sau intervalele IP specifice ajung direct la internet în loc să fie prin VPN. Împărțirea are loc la nivelul sistemului de operare — tabelul de rutare îi spune nucleului „trimite aplicația desktop Slack prin interfața VPN, trimite Spotify prin interfața Wi-Fi obișnuită”. VPN. Totul merge direct.” Ieșire implicită, înscriere la tunel.

Split-exclude (sau tunel divizat invers): „Totul trece prin VPN. Cu excepția acestor aplicații/URL-uri/IP-uri specifice, merg direct.” Intrare implicită, renunțare la tunel.

Pentru majoritatea scenariilor de consum, excluderea divizată este cea mai sigură implicită — totul este protejat, cu excepția cazului în care excludeți în mod explicit excepții. Pentru implementările de întreprindere, split-include este mai frecventă — numai aplicațiile corporative trec prin VPN corporativă, orice altceva folosește conexiunea directă a utilizatorului.

Cele trei granularități

Basat pe aplicație: ruta prin care procesul a inițiat conexiunea. „Firefox trece prin VPN, Slack nu.” Cel mai ușor de utilizat. Funcționează pe Windows, Android, macOS modern (prin cadrul NetworkExtension) și Linux (prin netns sau eBPF).
URL/domain-based: rutare după numele de gazdă de destinație. „work-app.company.com prin VPN, orice altceva direct.” Necesită ca clientul VPN să se integreze cu DNS pentru a ști la ce domeniu vă conectați înainte de decizia tunelului.
IP/CIDR-based: ruta după IP destinație. „10.0.0.0/8 prin VPN, orice altceva direct.” Metoda originală și de cel mai jos nivel. Funcționează peste tot, dar necesită cunoașterea intervalelor de IP în avans.

Când tunelul divizat are sens

Transmiterea în flux și jocurile de conținut local

Multe servicii de streaming și jocuri funcționează mai rău într-un VPN - latență adăugată, blocuri IP ocazionale. Tunnelul divizat permite Netflix sau Steam să se conecteze direct, în timp ce aplicațiile dvs. sensibile la confidențialitate (browser, mesageri) rămân tunelizate. Caz obișnuit de utilizare pentru consumatori.

Acces la dispozitivul de rețea de acasă

IDacă sunteți conectat la o rețea VPN, laptopul dvs. nu poate vedea imprimanta dvs. de acasă, NAS-ul sau dispozitivele smart-home pe 192.168.1.x. Excluderea subrețelei locale din tunel restabilește accesul la LAN fără a compromite confidențialitatea VPN-ului în traficul de internet.

Banking și aplicațiile care blochează VPN-urile

Unele bănci, aplicații de plată și servicii guvernamentale blochează IP-urile VPN ca antifraudă. Tunnelul divizat vă permite să creați doar acele aplicații pentru a merge direct, în timp ce totul rămâne protejat. (Mai bine decât dezactivarea completă a VPN-ului.)

Entreprindere: M365 split tunnel

Microsoft publică o listă actualizată de puncte finale M365 (Teams, Outlook, OneDrive, SharePoint) și recomandă în mod explicit excluderea lor din VPN-urile corporative. Volumul traficului M365 de la o forță de muncă de la distanță ar satura altfel concentratorul VPN. Rutarea directă către M365 ameliorează blocajul fără a compromite securitatea, deoarece M365 are propria sa autentificare și criptare modernă. Tunelarea acestor risipe de lățime de bandă a furnizorului VPN și adaugă latență pentru a nu beneficia de confidențialitate.

Când NU trebuie împărțit tunelul

IDacă nu înțelegeți exact ce aplicații sunt direcționate unde. Tunelurile divizate prost configurate expun ceea ce credeți că sunt protejat.
IDacă vă aflați într-o rețea ostilă și doriți confidențialitate completă. Wi-Fi public, rețele de hoteluri, țări cenzurate — tunelarea completă este mai sigură.
IDacă încercați să învingeți cenzura. este vizibilă orice cenzură directă; scopul VPN-ului este să ascunde totul.
IDacă utilizați un VPN pentru un flux de lucru sensibil la anonimat. Chiar și o singură conexiune directă (căutare DNS, plugin de browser, telemetrie) pierde identitate. face în mod deliberat găuri în protecția VPN-ului. Fiecare excludere este:
- A conexiune care ocolește protecția DNS a VPN.
- A conexiune vizibilă în orice rețea în care vă aflați fizic.
- A conexiune care vă dezvăluie IP-ul real la destinație.
- O suprafață de atac — dacă un site rău intenționat este o listă de ocolire a IP-urilor dvs. expus.
Sfatul standard: preferați divizarea-exclude în locul divării-include (prestabilit mai sigur), păstrați lista de excluderi scurtă, auditați-o periodic.
IImplementare prin VPN-uri majore
- NordVPN aplicație Split-Tuneling pe Windows + bazată pe Android. Limitat pe macOS.
- ExpressVPN: per aplicație pe toate platformele majore. Tunelul divizat Windows a avut o eroare notabilă de scurgere DNS din mai 2022 până în februarie 2024.
- Surfshark: „Bypasser” — bazat pe aplicație și bazat pe URL-ul pe Windows și Android. Android.
- Mullvad: tunel împărțit în linia de comandă/CLI pe toate platformele; UI mai puțin șlefuit.
- ProtonVPN: tunel divizat pe toate platformele majore, bazat pe aplicații și bazat pe IP.
- Windscribe: tunel divizat în extensie de browser încorporat, care este deosebit de granular pentru a testa.XPL44Z4XXPL. tunelul divizat funcționează conform intenției
  1. Conectați-vă la VPN-ul dvs. cu tunelul divizat configurat.
  2. Deschideți un browser care este in tunelul — vizitați pagina noastră de pornire și verificați că IP-ul dvs. arată ieșirea VPN. — verificați că arată IP-ul dvs. real.
  3. Rulați testul nostru de scurgeri DNS în ambele — DNS-ul ar trebui să urmeze aceeași rutare ca și traficul.
  4. Rulați testul complet de scurgeri VPN pentru a confirma scurgerile WebRTC și IPv6 config.
  Erorile de configurare surprinzătoare sunt frecvente. Eroarea de scurgere a DNS ExpressVPN de 21 de luni a afectat în mod specific doar utilizatorii din tunelul divizat - testarea ar fi surprins-o mai devreme decât eventuala dezvăluire.

Întrebări frecvente

Tunnelul divizat este sigur?: Este un compromis, nu în mod inerent sigur sau nesigur. Fiecare aplicație sau adresă URL exclusă ocolește protecțiile de confidențialitate ale VPN-ului. Pentru traficul nesensibil (streaming, actualizări de software, acces la rețeaua de domiciliu) compromisul este bun și economisește lățime de bandă. Pentru traficul sensibil, tunelul complet este mai sigur.
Ar trebui să folosesc split-include sau split-exclude?: Pentru consumatori, excluderea divizată este în general mai sigură - totul este protejat în mod implicit, renunțați la anumite aplicații care necesită acces direct. Pentru întreprinderile cu o listă definită de aplicații corporative, includerea împărțită este comună - numai aplicațiile corporative trec prin VPN-ul corporativ.
Split Tuning-ul îmi permite să văd Netflix mai repede?: De multe ori da. Serviciile de streaming limitează sau blochează frecvent conexiunile VPN și, chiar și atunci când nu o fac, latența suplimentară a hop-ului VPN poate degrada calitatea streamingului. Excluderea aplicației de streaming din tunel îi permite să se conecteze direct la viteză maximă.
Pot împărți tunelul pe site?: Unele VPN-uri (Surfshark's Bypasser, NordVPN pe anumite platforme, extensii de browser) acceptă URL-ul sau tunelul împărțit bazat pe domeniu. Alții acceptă doar la nivel de aplicație (întregul proces al browserului este în sau în afara tunelului). Verificați documentația VPN-ului specific.
De ce s-a produs eroarea de scurgere a DNS ExpressVPN?: Implementarea tunelului divizat Windows a avut un defect care, între mai 2022 și februarie 2024, a scurs interogări DNS de la aplicații care trebuiau excluse din tunel. Bug-ul a afectat în mod specific interacțiunea dintre tunelul divizat și soluția DNS de sistem. ExpressVPN l-a corectat la începutul anului 2024. Episodul este studiul de caz canonic pentru ce utilizatorii din tuneluri separate ar trebui să își verifice periodic configurația cu un test de scurgere.