Como dividir o tráfego VPN do túnel no Windows, MacOS, DD-WRT e Tomato

O túnel dividido permite que os usuários da VPN direcionem o tráfego de aplicativos ou dispositivos especificados através da VPN, enquanto o tráfego de outros aplicativos e dispositivos viaja pela rede padrão que não é VPN. O tunelamento dividido pode ser usado para várias finalidades diferentes, incluindo:

• Permitir o uso normal da Internet e ao mesmo tempo acessar recursos disponíveis apenas para usuários da VPN, como um servidor comercial
• Configurando dispositivos específicos, como consoles de jogos ou caixas de mídia de streaming, para usar (ou não usar) a VPN sem afetar outros dispositivos na rede
• Enviar todo o tráfego de um dispositivo através da VPN, exceto ao acessar conteúdo ou serviços que não permitem conexões VPN, como MLB.tv ou Netflix
• Enviando todo o tráfego pela VPN, exceto para conteúdo e serviços que exigem baixa latência, como aplicativos VoIP e jogos online
• Somente roteando o tráfego torrent através da VPN, enquanto todo o restante tráfego da Internet vai para a rede padrão
• Acesse a VPN sem afetar sua conexão com outros dispositivos na rede local, como impressoras ou um Plex Media Server

Sua imaginação é o limite para o número de aplicativos para o tunelamento dividido. Bem, isso e seu hardware. Diferentes tipos de tunelamento dividido têm diferentes requisitos técnicos. O que você pode conseguir depende muito do seu dispositivo, roteador wifi e serviço VPN.

Antes de começar, é importante perceber que o tunelamento dividido exige algum conhecimento técnico avançado e a implementação aleatória pode levar a riscos de segurança. Se você não definir adequadamente suas configurações de túnel dividido, seu ISP ou um terceiro poderá acessar alguns dos seus dados confidenciais.

Tipos de tunelamento dividido

Para usuários VPN típicos, existem quatro tipos principais de encapsulamento dividido.

O primeiro tipo é o mais simples e útil se você precisar acessar recursos remotos por meio de uma VPN, mantendo uma conexão normal e não VPN à Internet. Explicaremos como fazer isso nos tutoriais abaixo.

O segundo é por dispositivo. Por exemplo, se você deseja que seu console de jogos se conecte à Internet sem uma VPN, mas seu PC e smartphone se conectem com uma VPN. Esse tipo de tunelamento dividido geralmente é feito no seu roteador wifi. No popular firmware do roteador DD-WRT, isso é chamado de “roteamento baseado em políticas”.

O terceiro tipo de tunelamento dividido é por aplicação. Você pode configurar uma lista negra ou lista branca de aplicativos e serviços que deseja conectar à VPN ou não à VPN, respectivamente. Este último às vezes é chamado de tunelamento dividido “inverso”. Por exemplo, se você deseja que apenas o tráfego torrent passe pela VPN, mas todos os outros aplicativos, como jogos e navegadores da Web, se conectem à Internet sem uma VPN, esse é o método que você deseja usar. O tunelamento dividido por aplicativo funciona apenas em algumas VPNs, sistemas operacionais e firmware de roteador.

O tipo final de tunelamento dividido permite rotear o tráfego com base no destino e não na origem. Por exemplo, se você deseja rotear todo o tráfego através da VPN, exceto aquela que viaja para Netflix ou Hulu. Isso é chamado de roteamento baseado em IP e é o tipo mais difícil de realizar tunelamento dividido. Requer um roteador ou firewall com estado e, mesmo se você tiver, sites como o Netflix têm tantos endereços IP que é difícil fazê-lo funcionar de maneira confiável. Como tal, não abordaremos o roteamento IP neste artigo.

Nem todos os sistemas operacionais suportam todos os tipos de tunelamento dividido. De fato, os usuários do Windows descobrirão que suas opções são severamente limitadas. Os Macs não são ruins, mas os roteadores com firmware DD-WRT ou Tomato oferecem a maior versatilidade. Infelizmente, eles também são os mais complicados de configurar.

Como dividir um túnel no MacOS

Primeiro, verifique com seu provedor de VPN para ver se o aplicativo inclui a funcionalidade integrada de tunelamento dividido. Embora não seja muito comum, alguns provedores como o ExpressVPN oferecem tunelamento dividido baseado em aplicativo. Com o Conexão por aplicativo no aplicativo Mac da ExpressVPN, você pode criar uma lista negra ou lista branca de aplicativos para rotear pela VPN.

Se o seu aplicativo VPN não tiver suporte interno para tunelamento dividido, teremos que sujar as mãos e fazer as coisas da maneira manual.

Você precisará de privilégios administrativos de superusuário e uma conexão L2TP ou PPTP existente, além da sub-rede de destino para o espaço privado da VPN.

1. Vamos para Preferências do Sistema > Rede
2. Na barra lateral esquerda, clique na sua conexão VPN e vá para Configurações avançadas > Opções
3. Desmarque a caixa para Enviar todo o tráfego pela conexão VPN
4. Salve suas alterações e conecte-se à VPN
5. Uma vez conectado, vá para Inscrição > Serviços de utilidade pública > terminal
6. Tipo ifconfig no terminal e pressione Enter. Anote a interface usada pela VPN. Usando L2TP, isso provavelmente será ppp0
7. Efetue login como root. Uma maneira fácil de fazer isso é digitar sudo su no terminal e autentique com sua senha do Mac.
8. Digite o seguinte comando, substituindo >SUBNET DE DESTINO< com a sub-rede que você deseja rotear pela VPN e >INTERFACE VPN< com a interface listada na etapa anterior.route add -net >SUBNET DE DESTINO< -interface >INTERFACE VPN<

Veja também: Nossa lista de provedores de VPN para Mac recomendados.

Como dividir túnel no Windows

O Windows é bastante limitado quando se trata de dividir túneis. Não temos como dividir o túnel por aplicativo ou destino. Em vez disso, a opção de tunelamento dividido no Windows é muito mais ampla. Você pode optar por não encapsular o tráfego IPv4 e IPv6 para que apenas o tráfego local passe pela VPN. Isso é útil se você precisar usar a VPN apenas para acessar recursos remotos não disponíveis na sua conexão normal à Internet, mas não muito mais.

Além disso, o Windows divide apenas os protocolos VPN de túneis aos quais possui suporte interno. Isso significa que você precisará configurar uma conexão L2TP, SSTP ou PPTP primeiro. O OpenVPN não funcionará aqui.

Este exemplo usará sua conexão local para acessar a Internet enquanto a VPN será usada para acessar recursos remotos, como um servidor comercial privado que só pode ser acessado via VPN. A VPN será usada apenas quando um host não estiver disponível na rede local.

Neste tutorial, você usará o Windows 10. Vamos supor que você já tenha configurado sua conexão VPN e que você só precisa ativar o túnel dividido. Você precisará de privilégios de administrador e da sub-rede de destino para o seu espaço privado VPN.

1. Na barra de pesquisa do Windows, digite Powershell e clique com o botão direito para Executar como administrador
2. Tipo Get-VPNConnection e pressione Enter para exibir uma lista de todas as suas conexões VPN disponíveis. (Eu testei várias VPNs, então existem várias na minha captura de tela, mas é provável que você tenha apenas uma.) Anote as Nome da VPN que você deseja dividir o túnel.
3. Digite o seguinte comando e pressione Enter, substituindo >NOME DA VPN< com o nome que você anotou na etapa anterior: Set-VPNConnection -Name “>NOME DA VPN<”-SplitTunneling $ True

Você pode verificar se o tunelamento dividido está ativado digitando o Get-VPNConnection comando novamente. O campo de tunelamento dividido agora deve estar definido como True.

Em seguida, insira este comando e anote o Descrição campo:

ipconfig / all

Se necessário, adicione a rota. Substituir >SUBNET DE DESTINO< com a sub-rede que você deseja rotear pela VPN e >INTERFACE< com o nome do campo Descrição que mencionamos na última etapa:

interface netsh ipv4 adicionar rota >SUBNET DE DESTINO< ">NOME DA INTERFACE<"

Se você deseja desativar o tunelamento dividido, digite este comando:

Set-VPNConnection -Name ">NOME DA VPN<" -SplitTunneling $ False

Divida o tunelamento com seu próprio servidor OpenVPN no Windows

Se você criou seu próprio servidor OpenVPN semelhante ao do nosso tutorial que usa o Amazon EC2, é possível ativar o túnel dividido no Windows editando seus arquivos de configuração.

Retirar redirecionamento-gateway def1 no seu arquivo de configuração do servidor OpenVPN (provavelmente chamado server.conf). Na configuração do cliente (client.ovpn ou client.conf), adicione a seguinte linha:

rota 12.12.12.0 255.255.255.0 vpn_gateway

Isso roteia a sub-rede 12.12.12.0 através da conexão VPN e todo o resto da conexão não VPN.

Veja também: A melhor VPN para usuários do Windows 10.

Como dividir o túnel em roteadores DD-WRT

A configuração do OpenVPN e do tunelamento dividido em roteadores DD-WRT é um negócio tedioso e complicado, portanto, se você quiser seguir a rota do roteador, recomendamos a compra de uma assinatura para ExpressVPN. Com isso, você pode instalar o firmware do roteador personalizado ExpressVPN ou comprar um roteador com o firmware pré-instalado. É muito mais fácil do que configurar tudo manualmente.

MELHOR VPN para dividir o túnel em roteadores DD-WRT: ExpressVPN é a nossa escolha. Esta VPN é pioneira em aplicativos fáceis de usar e em software roteador. Possui uma vasta rede de servidores otimizada para conexões de alta velocidade. Difícil de bater na privacidade e segurança. Funciona com todos os principais serviços de streaming. Há uma garantia de devolução do dinheiro em até 30 dias, para que você possa testá-lo sem riscos.

Se você deseja economizar alguns dólares e fazer as coisas da maneira mais difícil, presumiremos que você já configurou sua conexão VPN no DD-WRT e que ela funcione corretamente. O DD-WRT permite dividir o tráfego da VPN de túnel de algumas maneiras diferentes:

• por dispositivo, chamado “roteamento baseado em políticas”
• pelo endereço IP de destino, chamado “roteamento IP”
• por aplicativo ou porta

Roteamento baseado em políticas

No painel DD-WRT, vá para Serviço > VPN. Localize a caixa Roteamento com base em políticas e insira os endereços IP para cada um dos dispositivos que você deseja acessar pela VPN. Simples assim!

Se você não tiver certeza dos endereços IP dos seus dispositivos, poderá encontrá-los acessando o Status do roteador página do painel DD-WRT. Debaixo de Rede seção, encontre Conexões IP ativas. Clique no número ao lado para iniciar o Tabela de conexões IP ativas. Aqui você pode visualizar os endereços IP de todas as conexões de entrada e saída no roteador, bem como protocolos e números de portas.

Roteamento baseado em porta

Se você deseja especificar quais programas ou aplicativos usam a VPN, uma maneira de fazer isso é dividir o túnel por porta. Cada aplicativo provavelmente usa uma porta diferente; por exemplo, os navegadores da Web usam as portas TCP 80 e 443, o Spotify usa a porta TCP 4070 e o Steam usa as portas UDP 27000 a 27030. Assim, especificando quais portas específicas devem ser roteadas o tráfego da VPN, podemos dividir o túnel por aplicação.

Infelizmente, isso é mais difícil do que parece no DD-WRT. Você precisará se familiarizar com o IPTables, que governa as regras de firewall do Linux no firmware. Você pode achar este tutorial útil como exemplo.

Vamos para Administração > Comandos. Debaixo Firewall clique Editar e insira os comandos necessários. Em seguida, vá para a configuração do cliente OpenVPN no DD-WRT e encontre o Configuração adicional caixa para modificar sua configuração do OpenVPN.

Roteamento IP de destino

Se você deseja encapsular o tráfego por seu destino, ou seja, por site ou algum outro tipo de servidor, o roteamento IP pode fazer o truque.

Vá para a configuração do cliente OpenVPN no DD-WRT e encontre o Configuração adicional caixa. Digite o seguinte:

route-nopull
rota XXX.XXX.XXX.XXX 255.255.255.255 net_gateway
rota AAAA.AAA.AAA.AAA 255.ZZZ.ZZZ.0 vpn_gateway

Substitua os Xs pelo mesmo endereço digitado em IP do servidor campo da sua configuração OpenVPN. Substitua os Ys pelo endereço IP do servidor para o qual você deseja rotear o tráfego VPN e os Zs pela sub-rede apropriada (o último geralmente será 255.255.255.0).

Observe que, se você desejar rotear todo o tráfego da VPN para um site específico, precisará adicionar os endereços IP e sub-redes de todos os servidores que o site usa. A Netflix, por exemplo, usa várias dezenas de IPs e eles podem mudar a qualquer momento, portanto, você precisará encontrar uma lista atualizada de IPs da Netflix e atualizar essa configuração regularmente.

Como dividir um túnel em roteadores Tomato

O tomate não possui roteamento baseado em políticas, como o DD-WRT; portanto, você está praticamente empolgado em usar o IPTables para fazer o trabalho. No painel do Tomato, com sua conexão OpenVPN já configurada e funcionando, este é um exemplo de como habilitar o roteamento seletivo.

Vamos para Administração > Scripts > Firewall e adicione estes comandos:

iptables -I FORWARD -i br0 -o tun11 -j ACEITAR
iptables -I FORWARD -i tun11 -o br0 -j ACEITAR
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE

Clique na guia “WAN Up” e adicione esses comandos, substituindo >ENDEREÇO ​​IP DA FONTE< com o IP local do dispositivo que você deseja rotear pela VPN:

dormir 30
tabela de descarga ip route 200
cache de liberação de rota ip
regra de ip adicionar de >ENDEREÇO ​​IP DA FONTE< pesquisa 200
VPN_GW = `ifconfig tun11 | awk ‘/ inet addr / {split ($ 2, A,":"); imprimir A [2]} ”
rota ip adicionar tabela 200 padrão via $ VPN_GW dev tun11

Na barra lateral esquerda, vá para Túnel de VPN > Cliente OpenVPN. Na configuração do seu cliente OpenVPN, vá para Avançado. Debaixo Configuração personalizada, adicione este comando:

route-nopull

Tunnel Split por Paulio Geordio licenciado sob CC BY 2.0