Split Tunelling en conexiones VPN con Windows
Hola!
En esta ocasión, vamos a hablar un poco sobre el concepto de Split Tunelling utilizado en una conexión VPN y como configurarlo en Windows.
Siempre que realizamos una conexión VPN, y de manera predeterminada, se añade una nueva ruta por defecto (Gateway) en nuestra tabla de rutas para apuntar al servidor VPN al que nos conectamos.
De esta manera, todo el tráfico tanto interno (Intranet) como externo (Internet) pasará a través del servidor VPN.
Además de ineficiente para el tráfico externo, también podemos encontrarnos con el problema de que el servidor VPN no permita enrutar tráfico externo.
Este comportamiento es debido a que, por defecto, la opción Use default Gateway on remote networkestá marcada.
Si por el contrario desmarcamos dicha opción y realizamos la conexión VPN, la ruta por defecto no se verá modificada.
En lugar de esto, una nueva entrada (con el ID de red correspondiente a la dirección IP obtenida en la conexión VPN) es agregada a la tabla de rutas.
Gracias a ello, el tráfico externo será enviado por la Gateway original del cliente VPN, mientras que únicamente el tráfico interno correspondiente a la subred del cliente VPN será enviado al servidor VPN.
¿Qué pasa si, además de la subred donde se encuentra el cliente VPN, tenemos máquinas en otras subredes (internas) a las cuales necesitamos acceder?
Pues que debemos agregar las distintas entradas necesarias en nuestra tabla de rutas una vez nos hayamos conectado por VPN.
(Además, dichas entradas deberían desaparecer cuando nos desconectamos de la misma...)
¿Cómo podemos hacer esto?
Método 1: Crear una conexión a través de CMAK
Podemos optar por crear una conexión a través de CMAK (Connection Manager Administration Kit) y añadir un fichero de rutas personalizado a la conexión.
Podéis encontrar más información sobre cómo realizar esto en los siguientes enlaces:
291950 - Connection Manager Route Management
Split Tunneling for Concurrent Access to the Internet and an Intranet
NOTA: Para que las rutas personalizadas se apliquen correctamente, es necesario que los usuarios de las máquinas cliente sean administradores locales de las mismas.
(Permiso necesario para poder alterar la tabla de rutas).
Método 2: Configurar rutas a través de las opciones de Scope en DHCP
Otra opción disponible sería utilizar opciones de Scope de un servidor DHCP para definir las rutas personalizadas.
Por supuesto que esta opción requiere que el servidor VPN asigne las direcciones a través de un servidor DHCP (y nunca de un pool estático de direcciones).
Más información en el siguiente enlace:
The Classless Static Route Option for DHCP allows the client to query a DHCP server to obtain routing information to enable a remote access client to send traffic to the target network without treating the target network as the default route. For example, this allows a remote client to simultaneously view sites on the Internet as well as sites on the target network
Esperamos que esta información os haya sido de utilidad.
Un saludo,
Javier Rama.