Är delad tunneling säker?

Det är en avvägning, inte i sig säkert eller osäkert. Varje utesluten app eller URL kringgår VPN:s integritetsskydd. För icke-känslig trafik (streaming, programuppdateringar, åtkomst till hemnätverk) är avvägningen bra och sparar bandbredd. För känslig trafik är full tunneldrivning säkrare.

Ska jag använda split-include eller split-exclude?

För konsumenter är split-exclude generellt sett säkrare - allt är skyddat som standard, du väljer bort specifika appar som behöver direktåtkomst. För företag med en definierad företagsapplista är split-include vanligt – bara företagsapparna går via företagets VPN.

Låter delad tunneling mig titta på Netflix snabbare?

Ofta ja. Strömningstjänster stryper eller blockerar ofta VPN-anslutningar, och även när de inte gör det kan VPN-hoppets extra latens försämra streamingkvaliteten. Om du utesluter streamingappen från tunneln kan den ansluta direkt i full hastighet.

Kan jag dela tunnel efter webbplats?

Vissa VPN:er (Surfshark's Bypasser, NordVPN på vissa plattformar, webbläsartillägg) stöder URL- eller domänbaserad delad tunnling. Andra stöder bara app-nivå (hela webbläsarprocessen är in eller ut ur tunneln). Kontrollera dokumentationen för specifika VPN.

Varför inträffade ExpressVPN DNS-läckaget?

Windows split-tunneling-implementeringen hade ett fel som, mellan maj 2022 och februari 2024, läckte DNS-frågor från appar som var tänkta att uteslutas från tunneln. Felet påverkade specifikt interaktionen mellan split tunneling och systemets DNS-resolver. ExpressVPN patchade det i början av 2024. Avsnittet är den kanoniska fallstudien för varför användare av delad tunnel regelbundet bör verifiera sin installation med ett läckagetest.

Split tunneling förklaras: När ska man kringgå ditt VPN och när inte

Delad tunnling låter dig dirigera vissa appar genom ditt VPN och andra direkt. Det sparar bandbredd, fixar konstigheter i streaming-appar och låter dig använda din hemskrivare medan du är på en arbets-VPN. Det skapar också verkliga säkerhetsavvägningar om du felkonfigurerar det. Det här är den praktiska guiden: vad det är, när man ska använda det, när man ska lämna det och hur alla större VPN implementerar det.

Hela artikeltexten finns på engelska nedan.

Vad delad tunnling faktiskt gör

Som standard dirigerar en VPN everything genom den krypterade tunneln. Din jobb-e-post, din Netflix-ström, dina DNS-sökningar, dina programuppdateringar – allt går först till VPN-utgångsservern och sedan till destinationen. Detta är "full tunneling."

Delad tunneling vänder om några av dessa rutter. Specifika appar, webbadresser eller IP-intervall går direkt till internet istället för via VPN. Uppdelningen sker på OS-nivå – routingtabellen säger till kärnan "skicka Slack-skrivbordsappen via VPN-gränssnittet, skicka Spotify via det vanliga Wi-Fi-gränssnittet." Allt annat går direkt." Default-out, opt-in för tunneln.

Split-exclude (eller omvänd delad tunnel): "Allt går via VPN. Förutom dessa specifika appar/webbadresser/IP:er går direkt." Standardinställning, opt-out från tunneln.

För de flesta konsumentscenarier är split-exclude den säkrare standarden – allt är skyddat om du inte uttryckligen gör undantag. För företagsinstallationer är split-include vanligare — bara företagsappar går via företagets VPN, allt annat använder användarens direkta anslutning.

De tre granulariteterna

App-baserad: väg genom vilken process initierade anslutningen. "Firefox går via VPN, Slack gör det inte." Den mest användarvänliga. Fungerar på Windows, Android, modernt macOS (via NetworkExtension-ramverket) och Linux (via netns eller eBPF).
URL/domänbaserad: rutt efter destinationsvärdnamnet. "work-app.company.com via VPN, allt annat direkt." Kräver att VPN-klienten integreras med DNS för att veta vilken domän du ansluter till före tunnelbeslutet.
IP/CIDR-baserad: rutt efter destinations-IP. "10.0.0.0/8 via VPN, allt annat direkt." Den ursprungliga metoden och den lägsta nivån. Fungerar överallt men kräver att man känner till IP-intervallen i förväg.

När delad tunnling är meningsfull

Streaming och spelande lokalt innehåll

Många streamingtjänster och spel presterar sämre jämfört med ett VPN – extra latens, enstaka IP-blockeringar. Delad tunnling låter Netflix eller Steam ansluta direkt medan dina integritetskänsliga appar (webbläsare, meddelanden) förblir tunnelerade. Vanligt fall för konsumentbruk.

Hemnätverksenhetsåtkomst

Om du är ansluten till ett VPN kan din bärbara dator inte se din hemskrivare, NAS eller smarta hemenheter på 192.168.1.x. Att utesluta det lokala undernätet från tunneln återställer LAN-åtkomst utan att äventyra VPN:s integritet på internettrafik.

Banking och appar som blockerar VPNs

Vissa banker, betalningsappar och statliga tjänster blockerar VPN-IP:er som anti-bedrägeri. Med delad tunnel kan du skapa just dessa appar för att gå direkt medan allt annat förblir skyddat. (Bättre än att stänga av VPN helt.)

Enterprise: M365 delad tunnel

Microsoft publicerar en uppdaterad lista över M365-slutpunkter (Teams, Outlook, OneDrive, SharePoint) och rekommenderar uttryckligen att dela-exkluderas från företags-VPN. Volymen av M365-trafik från en fjärranställd arbetsstyrka skulle annars mätta VPN-koncentratorn. Direkt-till-M365-routing avlastar flaskhalsen utan att kompromissa med säkerheten eftersom M365 har sin egen moderna autentisering och kryptering.

Bandbreddstung okänslig trafik

Programuppdateringar, spelnedladdningar, videokonferenser till offentliga tjänster. Att tunnla dessa slösar bort VPN-leverantörens bandbredd och lägger till latens utan sekretessfördelar.

När man INTE ska dela tunnel

Om du inte förstår exakt vilka appar som dirigerar vart. Felkonfigurerade delade tunnlar avslöjar det du tror skyddad.
Om du befinner dig i ett fientligt nätverk och vill ha omfattande sekretess. Offentligt Wi-Fi, hotellnätverk, censurerade länder — full tunnelering är säkrare.
Om du försöker besegra allt som är synligt5XX eller allt som går att besegra censor; Hela poängen med VPN är att dölja allt.
Om du använder ett VPN för ett anonymitetskänsligt arbetsflöde. Till och med en enstaka direktanslutning (DNS-uppslagning, webbläsarplugin, telemetri) läcker identitet.

Säkerhet tradeoffsXPLZ4833 medvetet slår hål i VPN:ns skydd. Varje undantag är:
A-anslutning som kringgår VPN:s DNS-skydd.
A-anslutning synlig för vilket nätverk du än är fysiskt på.
A-anslutning som avslöjar din riktiga IP-adress till sin destination.
En attackyta på något sätt är en skadlig IP-lista, om en skadlig IP-sida finns på en förbikopplingslista. exposed.
Standardrådet: föredra split-exclude framför split-include (säkrare standard), håll uteslutningslistan kort, granska den med jämna mellanrum.
Implementering över större VPN:er
NordVXPNXPLZ på Android-app, Tunne18VXPNXPLZ: Tunne18VXPLZ + Begränsat på macOS.
ExpressVPN: per app på alla större plattformar. Den delade Windows-tunneleringen hade ett anmärkningsvärt DNS-läckagefel från maj 2022 till februari 2024.
Surfshark: "Bypasser" — app-baserad och URL-baserad på Windows och Android.
PI IP-baserad på app-baserad på Windows och Windows. macOS, Linux, Android.
Mullvad: kommandorads/CLI delad tunnling på alla plattformar; mindre polerad UI.
ProtonVPN: delad tunnling på alla större plattformar, appbaserade och IP-baserade.
Windscribe: inbyggd webbläsarförlängning delad tunneling som är särskilt granular.
Hur testar du att din delade tunnel fungerar som avsett
Anslut till ditt VPN med delad tunnel konfigurerad.
Öppna en webbläsare som är in och verifiera besök vår IP-tunnel och verifiera vår VPN-tunnel och verifiera exit.
**Öppna en webbläsare eller app som är excluded — verifiera att den visar din riktiga IP.
Kör vårt DNS-läckagetest i båda — DNS bör följa samma rutt som trafiken. test för att bekräfta att WebRTC- och IPv6-läckor inte kringgår din config.**
Overraskande konfigurationsfel är vanliga. ExpressVPN 21-månaders DNS-läckage-buggen påverkade bara användare av delad tunnel specifikt - testning skulle ha fångat det tidigare än det slutliga avslöjandet.

Vanliga frågor

Är delad tunneling säker?: Det är en avvägning, inte i sig säkert eller osäkert. Varje utesluten app eller URL kringgår VPN:s integritetsskydd. För icke-känslig trafik (streaming, programuppdateringar, åtkomst till hemnätverk) är avvägningen bra och sparar bandbredd. För känslig trafik är full tunneldrivning säkrare.
Ska jag använda split-include eller split-exclude?: För konsumenter är split-exclude generellt sett säkrare - allt är skyddat som standard, du väljer bort specifika appar som behöver direktåtkomst. För företag med en definierad företagsapplista är split-include vanligt – bara företagsapparna går via företagets VPN.
Låter delad tunneling mig titta på Netflix snabbare?: Ofta ja. Strömningstjänster stryper eller blockerar ofta VPN-anslutningar, och även när de inte gör det kan VPN-hoppets extra latens försämra streamingkvaliteten. Om du utesluter streamingappen från tunneln kan den ansluta direkt i full hastighet.
Kan jag dela tunnel efter webbplats?: Vissa VPN:er (Surfshark's Bypasser, NordVPN på vissa plattformar, webbläsartillägg) stöder URL- eller domänbaserad delad tunnling. Andra stöder bara app-nivå (hela webbläsarprocessen är in eller ut ur tunneln). Kontrollera dokumentationen för specifika VPN.
Varför inträffade ExpressVPN DNS-läckaget?: Windows split-tunneling-implementeringen hade ett fel som, mellan maj 2022 och februari 2024, läckte DNS-frågor från appar som var tänkta att uteslutas från tunneln. Felet påverkade specifikt interaktionen mellan split tunneling och systemets DNS-resolver. ExpressVPN patchade det i början av 2024. Avsnittet är den kanoniska fallstudien för varför användare av delad tunnel regelbundet bör verifiera sin installation med ett läckagetest.