Windows、MacOS、DD-WRT、TomatoでトンネルVPNトラフィックを分割する方法


スプリットトンネリングにより、VPNユーザーは特定のアプリまたはデバイスからのトラフィックをVPN経由でルーティングできますが、他のアプリおよびデバイスからのトラフィックはデフォルトの非VPNネットワークを経由します。スプリットトンネリングは、次のようなさまざまな目的に使用できます。

  • インターネットの通常の使用を許可すると同時に、ビジネスサーバーなど、VPNユーザーのみが利用できるリソースにアクセスする
  • ネットワーク上の他のデバイスに影響を与えずにVPNを使用する(または使用しない)ように、ゲームコンソールやストリーミングメディアボックスなどの特定のデバイスをセットアップする
  • MLB.tvやNetflixなどのVPN接続を許可しないコンテンツやサービスにアクセスする場合を除き、すべてのデバイスのトラフィックをVPN経由で送信する
  • VoIPアプリケーションやオンラインゲームなど、低遅延を必要とするコンテンツとサービスを除く、VPNを介してすべてのトラフィックを送信する
  • トレントトラフィックのみをVPN経由でルーティングし、他のすべてのインターネットトラフィックはデフォルトネットワークに送られます
  • プリンターやPlex Media Serverなど、ローカルネットワーク上の他のデバイスへの接続に影響を与えずにVPNにアクセスします

あなたの想像力は、スプリットトンネリングのアプリケーション数の制限です。まあ、それとあなたのハードウェア。異なるタイプのスプリットトンネリングには、異なる技術要件があります。達成できることは、デバイス、wifiルーター、VPNサービスに大きく依存します.

始める前に、スプリットトンネリングには高度な技術知識が必要であり、無計画な実装がセキュリティリスクにつながる可能性があることを認識することが重要です。スプリットトンネリング設定を適切に構成しないと、ISPまたはサードパーティが機密データの一部にアクセスする可能性があります.

スプリットトンネリングのタイプ

典型的なVPNユーザーの場合、スプリットトンネリングには4つの主なタイプがあります.

最初のタイプは最もシンプルで、VPN経由でリモートリソースにアクセスする必要がある場合に便利であり、インターネットへの通常の非VPN接続も維持します。以下のチュートリアルでこれを行う方法を説明します.

2番目はデバイスごとです。たとえば、ゲームコンソールをVPNなしでインターネットに接続し、PCとスマートフォンをVPNで接続する場合。このタイプのスプリットトンネリングは、通常、wifiルーターで行われます。一般的なDD-WRTルーターファームウェアでは、これは「ポリシーベースのルーティング」と呼ばれます。

スプリットトンネリングの3番目のタイプは、アプリケーションごとです。 VPNに接続したい、またはVPNに接続したくないアプリとサービスのブラックリストまたはホワイトリストをそれぞれ設定できます。後者は、「逆」スプリットトンネリングと呼ばれることもあります。たとえば、トレントトラフィックのみがVPNを通過し、ゲームやWebブラウザーなどの他のすべてのアプリケーションがVPNなしでインターネットに接続する場合、これが使用する方法です。アプリケーションによるスプリットトンネリングは、一部のVPN、オペレーティングシステム、およびルーターファームウェアでのみ機能します.

最後のタイプのスプリットトンネリングでは、ソースではなく宛先に基づいてトラフィックをルーティングできます。たとえば、NetflixまたはHuluへのトラフィック以外のすべてのトラフィックをVPN経由でルーティングする場合。これはIPベースのルーティングと呼ばれ、最も困難なタイプのスプリットトンネリングです。ステートフルルーターまたはファイアウォールが必要です。たとえそれがあったとしても、Netflixのようなサイトは非常に多くのIPアドレスを持っているため、確実に機能させるのは困難です。そのため、この記事ではIPルーティングについては説明しません。.

すべてのオペレーティングシステムがすべてのタイプのスプリットトンネリングをサポートしているわけではありません。実際、Windowsユーザーはオプションが非常に限られていることに気付くでしょう。 Macは悪くありませんが、DD-WRTまたはTomatoファームウェアを搭載したルーターが最も汎用性が高くなります。残念ながら、それらは設定が最も複雑です.

MacOSでトンネルを分割する方法

まず、VPNプロバイダーに問い合わせて、アプリに組み込みのスプリットトンネリング機能が含まれているかどうかを確認します。あまり一般的ではありませんが、ExpressVPNのような一部のプロバイダーは、アプリケーションベースのスプリットトンネリングを提供しています。とともに アプリごとの接続 ExpressVPNのMacアプリの機能を使用すると、アプリのブラックリストまたはホワイトリストを作成して、VPN経由でルーティングできます。.

VPNアプリにスプリットトンネリングのサポートが組み込まれていない場合は、手を汚して手動で操作する必要があります.

スーパーユーザーの管理者権限と既存のL2TPまたはPPTP接続、およびVPNプライベートスペースの宛先サブネットが必要です。.

  1. に行く システム環境設定 > 通信網
  2. 左側のサイドバーで、VPN接続をクリックして、 高度な設定 > オプション
  3. のチェックボックスをオフにします VPN接続を介してすべてのトラフィックを送信するスプリットトンネルMAC 3
  4. 変更を保存してVPNに接続します
  5. 接続したら、 応用 > 公益事業 > ターミナル
  6. タイプ ifconfig 端末に入力してEnterを押します。 VPNが使用するインターフェイスを書き留めます。 L2TPを使用すると、これはおそらく ppp0スプリットトンネルMAC 2
  7. rootとしてログインします。これを行う簡単な方法は、入力することです 須藤す 端末に接続し、Macパスワードで認証します.スプリットトンネルMAC 1_2
  8. 次のコマンドを入力して、置き換えます >宛先サブネット< VPN経由でルーティングするサブネットを使用し、 >VPNインターフェース< 前のステップでリストされたインターフェースを使用します。routeadd -net >宛先サブネット< -インターフェース >VPNインターフェース<

こちらもご覧ください: 推奨されるMac VPNプロバイダーのリスト.

Windowsでトンネルを分割する方法

Windowsは、スプリットトンネリングに関してかなり制限されています。アプリや宛先ごとにトンネルを分割することを認識している方法はありません。代わりに、Windowsのスプリットトンネリングオプションははるかに広いです。ローカルトラフィックのみがVPNを通過するように、IPv4およびIPv6トラフィックをトンネルしないように選択できます。 VPNを使用して、通常のインターネット接続からは利用できないリモートリソースにアクセスするだけで、それ以外はあまり必要ない場合に便利です。.

さらに、Windowsは、サポートが組み込まれているVPNプロトコルのみを分割します。つまり、最初にL2TP、SSTP、またはPPTP接続を構成する必要があります。 OpenVPNはここでは機能しません.

この例では、ローカル接続を使用してインターネットにアクセスし、VPNを使用して、VPNを介してのみアクセスできるプライベートビジネスサーバーなどのリモートリソースにアクセスします。 VPNは、ローカルネットワークでホストが利用できない場合にのみ使用されます.

このチュートリアルでは、Windows 10を使用します。VPN接続が既に設定されており、スプリットトンネリングを有効にするだけで済みます。 VPNプライベートスペースの管理者権限と宛先サブネットが必要です。.

  1. Windowsの検索バーに次のように入力します パワーシェル 右クリックして 管理者として実行スプリットトンネルウィンドウ1
  2. タイプ Get-VPNConnection Enterキーを押して、使用可能なすべてのVPN接続のリストを表示します。 (多くのVPNをテストしているので、スクリーンショットには複数ありますが、おそらく1つしかありません。) 名前 トンネルを分割するVPNの.スプリットトンネルウィンドウ2
  3. 次のコマンドを入力してEnterキーを押し、置き換えます >VPN名< 前の手順でメモした名前:Set-VPNConnection -Name“>VPN名<」-SplitTunneling $ True

次を入力して、スプリットトンネリングが有効になっていることを確認できます。 Get-VPNConnection 再度コマンド。スプリットトンネリングフィールドをTrueに設定する必要があります.スプリットトンネルウィンドウ3

次に、このコマンドを入力し、メモします 説明 フィールド:

ipconfig / all

必要に応じて、ルートを追加します。交換 >宛先サブネット< VPN経由でルーティングするサブネットを使用し、 >インターフェース< 最後のステップで説明したDescriptionフィールドの名前を使用します。

netsh interface ipv4 add route >宛先サブネット< ">インターフェース名<"

スプリットトンネリングを無効にする場合は、次のコマンドを入力します。

Set-VPNConnection -Name ">VPN名<" -SplitTunneling $ False

Windows上の独自のOpenVPNサーバーとのスプリットトンネリング

Amazon EC2を使用するチュートリアルのようなOpenVPNサーバーを独自に作成した場合は、設定ファイルを編集してWindowsでスプリットトンネリングを有効にできます.

削除する リダイレクトゲートウェイdef1 OpenVPNサーバーの設定ファイル(おそらくserver.confと呼ばれます)。クライアント構成(client.ovpnまたはclient.conf)で、次の行を追加します。

ルート12.12.12.0 255.255.255.0 vpn_gateway

これにより、VPN接続を介して12.12.12.0サブネットがルーティングされ、その他すべては非VPN接続からルーティングされます。.

こちらもご覧ください: Windows 10ユーザーに最適なVPN.

DD-WRTルーターでトンネルを分割する方法

DD-WRTルーターでOpenVPNとスプリットトンネリングを設定するのは退屈で難しい作業なので、ルータールートに行きたい場合は、次のサブスクリプションを購入することをお勧めします。 ExpressVPN. それにより、ExpressVPNカスタムルーターファームウェアをインストールするか、ファームウェアがプリインストールされたルーターを購入できます。すべてを手動で設定するよりもはるかに簡単です.

expressvpnルーター

DD-WRTルーターでトンネルを分割するためのベストVPN:ExpressVPNは私たちの選択です。このVPNは、使いやすいシンプルなアプリとルーターソフトウェアで道を先導しています。高速接続用に最適化された広大なサーバーネットワークがあります。プライバシーとセキュリティに勝るのは難しい。すべての主要なストリーミングサービスで動作します。リスクなしで試用できる30日間の無料の返金保証があります.

数ドルを節約して難しいことをしたい場合は、DD-WRTでVPN接続を既に設定し、適切に機能していると仮定します。 DD-WRTでは、トンネルVPNトラフィックをいくつかの異なる方法で分割できます。

  • 「ポリシーベースルーティング」と呼ばれるデバイスごと
  • 「IPルーティング」と呼ばれる宛先IPアドレスによる
  • アプリケーションまたはポート別

ポリシーベースのルーティング

DD-WRTダッシュボードで、 サービス > VPN. [ポリシーベースのルーティング]ボックスを見つけて、VPNを通過する各デバイスのIPアドレスを入力します。そのような単純な!

デバイスのIPアドレスがわからない場合は、 ルーターの状態 DD-WRTダッシュボードのページ。下 通信網 セクション、見つける アクティブなIP接続. その隣の数字をクリックして、 アクティブなIP接続テーブル. ここで、ルーター上のすべての着信接続と発信接続のIPアドレス、およびプロトコルとポート番号を表示できます。.

ポートベースのルーティング

VPNを使用するプログラムまたはアプリを指定する場合、これを行う1つの方法は、ポートごとのスプリットトンネリングです。各アプリケーションはおそらく異なるポートを使用します。たとえば、WebブラウザーはTCPポート80および443を使用し、SpotifyはTCPポート4070を使用し、SteamはUDPポート27000〜27030を使用します。用途別.

残念ながら、これはDD-WRTで聞こえるよりも困難です。ファームウェアのLinuxファイアウォールルールを管理するIPTablesに慣れる必要があります。このチュートリアルは例として役立つかもしれません.

に行く 運営管理 > コマンド. 下 ファイアウォール クリック 編集 そして必要なコマンドを入力します。次に、DD-WRTのOpenVPNクライアント構成に移動して、 追加の構成 OpenVPN構成を変更するためのボックス.

宛先IPルーティング

宛先、つまりウェブサイトまたは他の種類のサーバーでトラフィックをトンネリングしたい場合、IPルーティングがトリックを行うかもしれません.

DD-WRTのOpenVPNクライアント設定に移動して、 追加の構成 ボックス。次のように入力します:

ルートノプル
ルートXXX.XXX.XXX.XXX 255.255.255.255 net_gateway
ルートYYY.YYY.YYY.YYY 255.ZZZ.ZZZ.0 vpn_gateway

Xを下に入力したのと同じアドレスに置き換えます サーバーIP OpenVPN設定のフィールド。 YsをVPNトラフィックをルーティングするサーバーのIPアドレスに置き換え、Zsを適切なサブネットに置き換えます(後者は多くの場合255.255.255.0です).

特定のWebサイトに向かうすべてのVPNトラフィックをルーティングする場合、Webサイトが使用するすべてのサーバーのIPアドレスとサブネットを追加する必要があることに注意してください。たとえば、Netflixは数十個のIPを使用しており、いつでも変更できるため、Netflix IPの最新のリストを見つけて、この構成を定期的に更新する必要があります。.

Tomatoルーターでトンネルを分割する方法

Tomatoには、ポリシーベースのルーティングがDD-WRTのように組み込まれていないため、IPTablesを使用して作業を完了することにかなり専念しています。 OpenVPN接続が既に設定されて機能しているTomatoダッシュボードで、これは選択的ルーティングを有効にする方法の例です.

に行く 運営管理 > スクリプト > ファイアウォール 次のコマンドを追加します。

iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE

「WAN Up」タブをクリックし、これらのコマンドを追加して、置き換えます >ソースIPアドレス< VPN経由でルーティングするデバイスのローカルIPを使用します。

寝る30
ip route flush table 200
IPルートフラッシュキャッシュ
IPルールの追加元 >ソースIPアドレス< ルックアップ200
VPN_GW = `ifconfig tun11 | awk ‘/ inet addr / {split($ 2、A,":");印刷A [2]} ‘`
ip routeは、$ VPN_GW dev tun11を介してテーブル200のデフォルトを追加します

左側のサイドバーで、 VPNトンネリング > OpenVPNクライアント. OpenVPNクライアント設定で、 高度な. 下 カスタム構成, 次のコマンドを追加します。

ルートノプル

CC BY 2.0でライセンスされた「Paulio Geordio」によるトンネル分割

1 thought on “Windows、MacOS、DD-WRT、TomatoでトンネルVPNトラフィックを分割する方法

  1. スプリットトンネリングは、VPNユーザーが特定のアプリやデバイスからのトラフィックをVPN経由でルーティングできる便利な機能です。しかし、スプリットトンネリングを実装する前に、高度な技術知識が必要であることを認識することが重要です。また、スプリットトンネリングのタイプによっては、異なる技術要件があります。この記事では、スプリットトンネリングのタイプと、MacOS、Windows、DD-WRTルーター、Tomatoルーターでのトンネルの分割方法について説明しています。ただし、スプリットトンネリングを実装する前に、セキュリティリスクにつながる可能性があることを認識することが重要です。

Comments are closed.