Durch Split-Tunneling können VPN-Benutzer Datenverkehr von bestimmten Apps oder Geräten über das VPN weiterleiten, während Datenverkehr von anderen Apps und Geräten über das Standardnetzwerk ohne VPN übertragen wird. Split-Tunneling kann für verschiedene Zwecke eingesetzt werden, darunter:
- Ermöglichen der normalen Nutzung des Internets bei gleichzeitigem Zugriff auf Ressourcen, die nur VPN-Benutzern zur Verfügung stehen, z. B. einem Unternehmensserver
- Richten Sie bestimmte Geräte wie Spielekonsolen oder Streaming Media-Boxen ein, um das VPN zu verwenden (oder nicht zu verwenden), ohne andere Geräte im Netzwerk zu beeinträchtigen
- Senden des gesamten Datenverkehrs eines Geräts über das VPN, es sei denn, Sie greifen auf Inhalte oder Dienste zu, die keine VPN-Verbindungen zulassen, z. B. MLB.tv oder Netflix
- Senden des gesamten Datenverkehrs über das VPN mit Ausnahme von Inhalten und Diensten, für die eine geringe Latenz erforderlich ist, z. B. VoIP-Anwendungen und Onlinespiele
- Leiten Sie nur Torrent-Verkehr über das VPN, während der gesamte andere Internetverkehr an das Standardnetzwerk weitergeleitet wird
- Greifen Sie auf das VPN zu, ohne Ihre Verbindung zu anderen Geräten im lokalen Netzwerk, wie z. B. Druckern oder einem Plex Media Server, zu beeinträchtigen
Ihrer Fantasie sind die Grenzen der Anzahl von Anwendungen für Split-Tunneling gesetzt. Nun, das und deine Hardware. Unterschiedliche Arten des Split-Tunnels stellen unterschiedliche technische Anforderungen. Was Sie erreichen können, hängt stark von Ihrem Gerät, WLAN-Router und VPN-Dienst ab.
Bevor Sie beginnen, müssen Sie sich darüber im Klaren sein, dass Split-Tunneling einige fortgeschrittene technische Kenntnisse erfordert und eine zufällige Implementierung zu Sicherheitsrisiken führen kann. Wenn Sie Ihre Split-Tunneling-Einstellungen nicht richtig konfigurieren, kann Ihr ISP oder ein Dritter auf einige Ihrer vertraulichen Daten zugreifen.
Arten von Split-Tunneling
Für typische VPN-Benutzer gibt es vier Haupttypen von Split-Tunneling.
Der erste Typ ist der einfachste und nützlich, wenn Sie über ein VPN auf Remoteressourcen zugreifen und gleichzeitig eine normale, nicht-VPN-Verbindung zum Internet aufrechterhalten müssen. Wie das geht, erklären wir in den folgenden Tutorials.
Der zweite ist nach Gerät. Zum Beispiel, wenn Sie möchten, dass Ihre Spielekonsole ohne VPN eine Verbindung zum Internet herstellt, Ihr PC und Ihr Smartphone jedoch eine Verbindung mit einem VPN herstellen. Diese Art von Split-Tunneling wird normalerweise auf Ihrem WLAN-Router durchgeführt. In der gängigen DD-WRT-Router-Firmware wird dies als “richtlinienbasiertes Routing” bezeichnet.
Die dritte Art des Split-Tunnelns erfolgt nach Anwendung. Sie können eine Blacklist oder Whitelist mit Apps und Diensten einrichten, die Sie mit dem VPN verbinden möchten bzw. die Sie nicht mit dem VPN verbinden möchten. Letzteres wird manchmal als “inverses” Split-Tunneling bezeichnet. Wenn Sie beispielsweise möchten, dass nur Torrent-Datenverkehr über das VPN übertragen wird, aber alle anderen Anwendungen, z. B. Spiele und Webbrowser, ohne VPN eine Verbindung zum Internet herstellen, ist dies die Methode, die Sie verwenden möchten. Split-Tunneling nach Anwendung funktioniert nur bei einigen VPNs, Betriebssystemen und Router-Firmware.
Die letzte Art des Split-Tunnelns ermöglicht es Ihnen, den Verkehr basierend auf seinem Ziel und nicht auf seiner Quelle weiterzuleiten. Zum Beispiel, wenn Sie den gesamten Datenverkehr über das VPN weiterleiten möchten, mit Ausnahme des Datenverkehrs nach Netflix oder Hulu. Dies wird als IP-basiertes Routing bezeichnet und ist die schwierigste Art von Split-Tunneling. Es erfordert einen statusbehafteten Router oder eine Firewall, und selbst wenn dies der Fall ist, haben Websites wie Netflix so viele IP-Adressen, dass es schwierig ist, dafür zu sorgen, dass sie zuverlässig funktionieren. In diesem Artikel wird daher nicht auf IP-Routing eingegangen.
Nicht alle Betriebssysteme unterstützen alle Arten von Split-Tunneling. Tatsächlich werden Windows-Benutzer feststellen, dass ihre Optionen stark eingeschränkt sind. Macs sind nicht schlecht, aber Router mit DD-WRT- oder Tomato-Firmware bieten die größte Vielseitigkeit. Leider sind sie auch am kompliziertesten zu konfigurieren.
So teilen Sie Tunnel unter MacOS
Erkundigen Sie sich zunächst bei Ihrem VPN-Anbieter, ob dessen App integrierte Split-Tunneling-Funktionen enthält. Obwohl nicht allzu häufig, bieten einige Anbieter wie ExpressVPN anwendungsbasiertes Split-Tunneling an. Mit dem Verbindung per App Mit dieser Funktion in der Mac-App von ExpressVPN können Sie eine Blacklist oder Whitelist von Apps erstellen, die über das VPN weitergeleitet werden.
Wenn Ihre VPN-App Split-Tunneling nicht unterstützt, müssen wir uns die Hände schmutzig machen und die Dinge manuell erledigen.
Sie benötigen Superuser-Administratorrechte und eine vorhandene L2TP- oder PPTP-Verbindung sowie das Zielsubnetz für den privaten VPN-Bereich.
- Gehe zu Systemeinstellungen > Netzwerk
- Klicken Sie in der linken Seitenleiste auf Ihre VPN-Verbindung und gehen Sie zu Erweiterte Einstellungen > Optionen
- Deaktivieren Sie das Kontrollkästchen für Senden Sie den gesamten Datenverkehr über eine VPN-Verbindung
- Speichern Sie Ihre Änderungen und stellen Sie eine Verbindung zum VPN her
- Sobald die Verbindung hergestellt ist, gehen Sie zu Anwendung > Dienstprogramme > Terminal
- Art ifconfig in das Terminal und drücken Sie die Eingabetaste. Notieren Sie sich die vom VPN verwendete Schnittstelle. Bei Verwendung von L2TP ist dies wahrscheinlich der Fall ppp0
- Melden Sie sich als root an. Ein einfacher Weg, dies zu tun, ist die Eingabe sudo su in das Terminal und authentifizieren Sie sich mit Ihrem Mac-Passwort.
- Geben Sie den folgenden Befehl ein und ersetzen Sie ihn >ZIEL SUBNET< mit dem Subnetz, das Sie über das VPN weiterleiten möchten, und >VPN-SCHNITTSTELLE< mit der im vorherigen Schritt aufgelisteten Schnittstelle.route add -net >ZIEL SUBNET< -Schnittstelle >VPN-SCHNITTSTELLE<
Siehe auch: Unsere Liste empfohlener Mac VPN-Anbieter.
So teilen Sie Tunnel unter Windows
Windows ist in Bezug auf Split-Tunneling ziemlich eingeschränkt. Es gibt keine Möglichkeit, den Tunnel nach App oder Ziel aufzuteilen. Stattdessen ist die geteilte Tunneloption in Windows viel umfassender. Sie können festlegen, dass IPv4- und IPv6-Datenverkehr nicht getunnelt werden soll, sodass nur lokaler Datenverkehr über das VPN geleitet wird. Dies ist nützlich, wenn Sie nur das VPN verwenden müssen, um auf Remoteressourcen zuzugreifen, die über Ihre normale Internetverbindung nicht verfügbar sind, aber sonst nicht viel.
Darüber hinaus teilt Windows nur die VPN-Protokolle auf, für die es integrierte Unterstützung bietet. Das bedeutet, dass Sie zuerst eine L2TP-, SSTP- oder PPTP-Verbindung konfigurieren müssen. OpenVPN wird hier nicht funktionieren.
In diesem Beispiel wird Ihre lokale Verbindung verwendet, um auf das Internet zuzugreifen, während das VPN für den Zugriff auf Remoteressourcen verwendet wird, z. B. auf einen privaten Unternehmensserver, auf den nur über VPN zugegriffen werden kann. Das VPN wird nur verwendet, wenn kein Host im lokalen Netzwerk verfügbar ist.
In diesem Lernprogramm wird Windows 10 verwendet. Wir gehen davon aus, dass Sie Ihre VPN-Verbindung bereits eingerichtet haben und nur Split-Tunneling aktivieren müssen. Sie benötigen Administratorrechte und das Ziel-Subnetz für Ihren privaten VPN-Bereich.
- Geben Sie in Ihrer Windows-Suchleiste Folgendes ein Power Shell und mit der rechten Maustaste darauf klicken, um Als Administrator ausführen
- Art Get-VPNConnection und drücken Sie die Eingabetaste, um eine Liste aller verfügbaren VPN-Verbindungen aufzurufen. (Ich teste viele VPNs, sodass in meinem Screenshot mehrere enthalten sind, aber wahrscheinlich nur eines.) Notieren Sie sich das Name des VPN möchten Sie Tunnel teilen.
- Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste >VPN-NAME< mit dem Namen, den Sie im vorherigen Schritt notiert haben: Set-VPNConnection -Name “>VPN-NAME<-SplitTunneling $ True
Sie können überprüfen, ob das Split-Tunneling aktiviert ist, indem Sie das Symbol eingeben Get-VPNConnection befehle erneut. Das geteilte Tunneling-Feld sollte jetzt auf True gesetzt sein.
Geben Sie als Nächstes diesen Befehl ein und notieren Sie sich die Beschreibung Feld:
ipconfig / all
Fügen Sie ggf. die Route hinzu. Ersetzen >ZIEL SUBNET< mit dem Subnetz, das Sie über das VPN routen möchten, und >SCHNITTSTELLE< mit dem Namen des Feldes Beschreibung, das wir im letzten Schritt erwähnt haben:
Netsh-Schnittstelle IPv4 Route hinzufügen >ZIEL SUBNET< ">SCHNITTSTELLENNAME<"
Wenn Sie das Split-Tunneling deaktivieren möchten, geben Sie folgenden Befehl ein:
Set-VPNConnection -Name ">VPN-NAME<" -SplitTunneling $ False
Split-Tunneling mit Ihrem eigenen OpenVPN-Server unter Windows
Wenn Sie einen eigenen OpenVPN-Server erstellt haben, der dem in unserem Lernprogramm beschriebenen ähnelt und Amazon EC2 verwendet, können Sie Split-Tunneling unter Windows aktivieren, indem Sie Ihre Konfigurationsdateien bearbeiten.
Entfernen Redirect-Gateway def1 in Ihrer OpenVPN-Serverkonfigurationsdatei (wahrscheinlich server.conf). Fügen Sie in der Clientkonfiguration (client.ovpn oder client.conf) die folgende Zeile hinzu:
route 12.12.12.0 255.255.255.0 vpn_gateway
Dadurch wird das Subnetz 12.12.12.0 über die VPN-Verbindung und alles andere über die Nicht-VPN-Verbindung weitergeleitet.
Siehe auch: Das beste VPN für Windows 10-Benutzer.
So teilen Sie den Tunnel auf DD-WRT-Routern
Das Einrichten von OpenVPN und Split-Tunneling auf DD-WRT-Routern ist mühsam und knifflig. Wenn Sie also die Routerroute wählen möchten, empfehlen wir, ein Abonnement für zu erwerben ExpressVPN. Damit können Sie die ExpressVPN-Firmware für benutzerdefinierte Router installieren oder einen Router mit vorinstallierter Firmware kaufen. Es ist viel einfacher als alles manuell einzurichten.
BESTE VPN zur Aufteilung des Tunnels auf DD-WRT-Routern: ExpressVPN ist unsere Wahl. Dieses VPN ist mit seinen benutzerfreundlichen Apps und der Routersoftware führend. Es verfügt über ein großes Servernetzwerk, das für Hochgeschwindigkeitsverbindungen optimiert ist. Kaum zu übertreffen bei Privatsphäre und Sicherheit. Funktioniert mit allen gängigen Streaming-Diensten. Es gibt eine 30-tägige Geld-zurück-Garantie, mit der Sie es ohne Risiko ausprobieren können.
Wenn Sie ein paar Dollar sparen und schwierige Aufgaben erledigen möchten, gehen wir davon aus, dass Sie Ihre VPN-Verbindung bereits in DD-WRT eingerichtet haben und ordnungsgemäß funktionieren. Mit DD-WRT können Sie den Tunnel-VPN-Verkehr auf verschiedene Arten aufteilen:
- nach Gerät, als “richtlinienbasiertes Routing” bezeichnet
- nach Ziel-IP-Adresse, genannt “IP-Routing”
- nach Anwendung oder Port
Richtlinienbasiertes Routing
Wechseln Sie im DD-WRT-Dashboard zu Bedienung > VPN. Suchen Sie das Feld Policy based routing (Richtlinienbasiertes Routing) und geben Sie die IP-Adressen für jedes Gerät ein, das Sie über das VPN verwenden möchten. So einfach ist das!
Wenn Sie sich nicht sicher sind, welche IP-Adressen Ihre Geräte haben, finden Sie diese unter Router-Status Seite des DD-WRT-Dashboards. Unter dem Netzwerk Abschnitt finden Aktive IP-Verbindungen. Klicken Sie auf die Nummer daneben, um die zu starten Tabelle der aktiven IP-Verbindungen. Hier können Sie die IP-Adressen aller eingehenden und ausgehenden Verbindungen auf dem Router sowie Protokolle und Portnummern anzeigen.
Port-basiertes Routing
Wenn Sie angeben möchten, welche Programme oder Apps das VPN verwenden, besteht eine Möglichkeit darin, das Tunneling nach Port aufzuteilen. Wahrscheinlich verwendet jede Anwendung einen anderen Port. Beispielsweise verwenden Webbrowser die TCP-Ports 80 und 443, Spotify verwendet den TCP-Port 4070 und Steam die UDP-Ports 27000 bis 27030. Indem wir also angeben, über welche spezifischen Ports der VPN-Verkehr geleitet werden soll, können wir den Tunnel aufteilen nach anwendung.
Leider ist dies schwieriger als es sich für DD-WRT anhört. Sie müssen sich mit IPTables vertraut machen, das die Linux-Firewallregeln in der Firmware regelt. Sie finden dieses Tutorial möglicherweise als Beispiel nützlich.
Gehe zu Verwaltung > Befehle. Unter Firewall klicken Bearbeiten und geben Sie die erforderlichen Befehle ein. Gehen Sie dann in DD-WRT zu Ihrer OpenVPN-Client-Konfiguration und suchen Sie die Zusätzliche Konfiguration Feld, um Ihre OpenVPN-Konfiguration zu ändern.
Ziel-IP-Routing
Wenn Sie den Datenverkehr nach seinem Ziel tunneln möchten, d. H. Nach einer Website oder einer anderen Art von Server, kann IP-Routing den Trick ausführen.
Gehen Sie zu Ihrer OpenVPN-Client-Konfiguration in DD-WRT und suchen Sie die Zusätzliche Konfiguration Box. Gib das Folgende ein:
Route-Nopull
route XXX.XXX.XXX.XXX 255.255.255.255 net_gateway
route YYY.YYY.YYY.YYY 255.ZZZ.ZZZ.0 vpn_gateway
Ersetzen Sie die Xs durch die gleiche Adresse, die Sie unter eingegeben haben Server IP Feld Ihrer OpenVPN-Konfiguration. Ersetzen Sie die Ys durch die IP-Adresse des Servers, an den Sie den VPN-Verkehr weiterleiten möchten, und die Zs durch das entsprechende Subnetz (letzteres ist häufig 255.255.255.0)..
Wenn Sie den gesamten VPN-Datenverkehr an eine bestimmte Website weiterleiten möchten, müssen Sie die IP-Adressen und Subnetze für alle von dieser Website verwendeten Server hinzufügen. Netflix verwendet beispielsweise mehrere Dutzend IP-Adressen und diese können jederzeit geändert werden. Sie müssen daher eine aktuelle Liste der Netflix-IP-Adressen finden und diese Konfiguration regelmäßig aktualisieren.
So teilen Sie den Tunnel auf Tomaten-Routern
In Tomato ist kein richtlinienbasiertes Routing wie in DD-WRT integriert. Sie müssen also IPTables verwenden, um die Aufgabe zu erledigen. Auf dem Tomato-Dashboard ist dies ein Beispiel für die Aktivierung des selektiven Routings, wenn Ihre OpenVPN-Verbindung bereits eingerichtet ist und funktioniert.
Gehe zu Verwaltung > Skripte > Firewall und füge diese Befehle hinzu:
iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE
Klicken Sie auf die Registerkarte „WAN Up“ und fügen Sie diese Befehle hinzu, wobei Sie ersetzen >URSPRUNGS IP-ADDRESSE< mit der lokalen IP des Geräts, das Sie über das VPN weiterleiten möchten:
Schlaf 30
ip route flush table 200
ip route flush cache
IP-Regel hinzufügen von >URSPRUNGS IP-ADDRESSE< Nachschlagen 200
VPN_GW = `ifconfig tun11 | awk ‘/ inet addr / {split ($ 2, A,":"); print A [2]} ‘`
ip route add table 200 default über $ VPN_GW dev tun11
Gehen Sie in der linken Seitenleiste zu VPN-Tunneling > OpenVPN-Client. Gehen Sie in Ihrer OpenVPN-Clientkonfiguration zu Fortgeschritten. Unter Benutzerdefinierte Konfiguration, Füge diesen Befehl hinzu:
Route-Nopull
Tunnel Split von Paulio Geordio lizenziert unter CC BY 2.0
siertes Split-Tunneling bezeichnet und erfordert fortgeschrittene technische Kenntnisse und spezielle Router-Firmware. Es ist wichtig zu beachten, dass Split-Tunneling einige Sicherheitsrisiken birgt, wenn es nicht richtig konfiguriert ist. Es ist daher ratsam, sich vor der Implementierung gründlich zu informieren und sicherzustellen, dass Ihre Hardware und VPN-Dienstleister die erforderlichen Funktionen unterstützen. Insgesamt bietet Split-Tunneling jedoch eine flexible Möglichkeit, den Datenverkehr zu steuern und die Vorteile eines VPNs zu nutzen, ohne die normale Internetnutzung zu beeinträchtigen.