Раздельное туннелирование VPN
Что такое Раздельное туннелирование VPN?
Раздельное туннелирование VPNКонфигурация VPN, при которой через зашифрованный туннель идёт только выбранный трафик (например, корпоративные подсети), а остальной выходит напрямую в интернет.
Split tunneling настраивается на VPN-клиентах (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, ZTNA-агенты), чтобы лишь определённые назначения — обычно внутренние IP-диапазоны, DNS-суффиксы или приложения — проходили через шифрованный туннель. Остальной трафик выходит через локальный интернет-канал. Плюсы: меньшая нагрузка на VPN-концентратор, меньшая задержка к SaaS, отсутствие двойного NAT для облачных сервисов. Минусы серьёзны: оконечная точка одновременно находится в доверенной сети и в открытом интернете, что ослабляет периметр, усложняет DLP и инспекцию и может вызвать утечку DNS через локальный резолвер. Современные архитектуры компенсируют это полным туннелем для управляемых устройств, ZTNA-политиками по приложениям, безопасным DNS к корпоративному резолверу и EDR на каждом эндпоинте.
● Примеры
- 01
WireGuard-клиент направляет через корпоративный туннель только 10.0.0.0/8, а трафик Zoom уходит напрямую в интернет.
- 02
Рекомендации Microsoft 365 по split-tunnel исключают оптимизированные эндпоинты Exchange, SharePoint и Teams из корпоративного VPN.
● Частые вопросы
Что такое Раздельное туннелирование VPN?
Конфигурация VPN, при которой через зашифрованный туннель идёт только выбранный трафик (например, корпоративные подсети), а остальной выходит напрямую в интернет. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Раздельное туннелирование VPN?
Конфигурация VPN, при которой через зашифрованный туннель идёт только выбранный трафик (например, корпоративные подсети), а остальной выходит напрямую в интернет.
Как работает Раздельное туннелирование VPN?
Split tunneling настраивается на VPN-клиентах (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, ZTNA-агенты), чтобы лишь определённые назначения — обычно внутренние IP-диапазоны, DNS-суффиксы или приложения — проходили через шифрованный туннель. Остальной трафик выходит через локальный интернет-канал. Плюсы: меньшая нагрузка на VPN-концентратор, меньшая задержка к SaaS, отсутствие двойного NAT для облачных сервисов. Минусы серьёзны: оконечная точка одновременно находится в доверенной сети и в открытом интернете, что ослабляет периметр, усложняет DLP и инспекцию и может вызвать утечку DNS через локальный резолвер. Современные архитектуры компенсируют это полным туннелем для управляемых устройств, ZTNA-политиками по приложениям, безопасным DNS к корпоративному резолверу и EDR на каждом эндпоинте.
Как защититься от Раздельное туннелирование VPN?
Защита от Раздельное туннелирование VPN обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Раздельное туннелирование VPN?
Распространённые альтернативные названия: Split Tunnel, Выборочная маршрутизация VPN.
● Связанные термины
- network-security№ 1213
VPN Kill Switch
Защитная мера, автоматически блокирующая весь сетевой трафик хоста при разрыве VPN-туннеля, чтобы исключить случайные утечки по незашифрованному каналу.
- network-security№ 042
Always-On VPN
Политика на уровне устройства, автоматически поднимающая VPN-туннель при появлении сети и отвергающая нетуннелированный трафик; обеспечивается профилями Windows, Apple и Android.
- privacy№ 339
DNS-утечка
Сбой приватности, при котором DNS-запросы обходят VPN- или Tor-туннель и уходят в открытом виде к провайдеру или системному резолверу.
- network-security№ 556
IPsec
Набор протоколов IETF, аутентифицирующий и шифрующий IP-пакеты и обеспечивающий безопасную связь на сетевом уровне.
- network-security№ 1244
WireGuard
Современный минималистичный VPN-протокол с фиксированным набором актуальных криптопримитивов, работающий как часть ядра Linux.