VPN接続を通過するデータの範囲を決定および制御する方法
特定のタスクでリモートで作業するには、VPNに接続する必要があります。 VPN接続を介してリモートネットワークで作業しているときに、他のネットワーク接続がVPNをしないようにすることもできます。たとえば、VPN接続を介してリモートファイルを編集していて、同時に音楽をストリーミングしたいが、音楽ストリームがリモートVPN接続を通過したくないとします。より機密性の高い例は、機密データ転送の個別のセット用のVPNに接続しているときに機密データ転送が発生している場合です。どのようにして2つを追跡、分離、および監視しますか?仮想マシンを使用しますか、それとも他の方法ですか?
最終的に問題は次のとおりです:VPN接続を通過するデータの範囲をどのように決定および制御できますか?
5歳のように説明していただければと思いますが、5歳では多すぎるかもしれないとわかっているので…とにかく初心者のように答えてください。
VPNには2つの主要なルーティングモードがあります。
- フルトンネル-すべてのネットワークトラフィックはVPN経由でルーティングされます
- スプリットトンネル-特定の範囲のネットワークトラフィックはVPN経由で送信されますが、一般的なインターネットトラフィックは送信されません。
多くの企業VPNはフルトンネルモードで動作し、ネットワークチームにさらに制御を提供します。たとえば、企業のフィルタリングプロキシを介してのみインターネットを閲覧できます。一部のVPNクライアントは、フルトンネルモードを強制するために非常に長くなります。一部のラップトップは、直接インターネットアクセスがないように構成されており、VPNに接続して何かを行う必要があります。
調査する簡単な方法は、whatsmyip.orgを参照して、これが自宅のIPアドレスか職場のIPアドレスかを確認することです。または、「route」コマンドを使用してルーティングテーブルを表示できます。デフォルトルート(0.0.0.0)を探し、デフォルトゲートウェイがローカルルーターであるか、VPNエンドポイントであるかを確認します。また、ネットワークモニター(Linuxのnettopなど、Windowsタスクマネージャーには簡単なものがあります)を使用して、VPNを通過するトラフィックの量を監視することもできます。ローカルインターフェイストラフィックには暗号化されたVPNトンネルが含まれているため、非VPNトラフィックを監視することはそれほど簡単ではありません。
一般的なシナリオは、VPNがフルトンネルモードで構成されていて、スプリットトンネルが必要な場合です。 VPNソフトウェアを制御できる場合は、スプリットトンネリングを実行するようにVPNソフトウェアを構成できます。 OpenVPNでは、リダイレクトゲートウェイ構成オプションを確認してください。 VPNクライアントがロックされている場合は、仮想マシン内でVPNを実行することをお勧めします。 VMはフルトンネルモードで動作しますが、ホスト(または他のVM)からのネットワークトラフィックは動作しません。
ルーティング構成によってこれを制御できます。詳細な構成手順は、オペレーティングシステムとVPNの種類によって異なりますが、OpenVPNでこれを実現する方法の例を次に示します: https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway 。これは「音楽ストリーム」の例で機能します。同時VPN接続の構成がより複雑である場合、音楽ストリームはVPNを経由しませんが、考え方は同じです。 Linuxでのルーティング構成の詳細については、こちらをご覧ください https://www.cyberciti.biz/faq/howto-linux-configuring-default-route-with-ipcommand/