Cómo dividir el tráfico VPN de túnel en Windows, MacOS, DD-WRT y Tomato

El túnel dividido permite a los usuarios de VPN enrutar el tráfico desde aplicaciones o dispositivos específicos a través de la VPN mientras el tráfico de otras aplicaciones y dispositivos viaja a través de la red predeterminada que no es VPN. El túnel dividido se puede usar para varios propósitos diferentes, que incluyen:

• Permitir el uso normal de Internet mientras se accede simultáneamente a recursos disponibles solo para usuarios de VPN, como un servidor empresarial
• Configurar dispositivos específicos, como consolas de juegos o cajas de transmisión de medios, para usar (o no usar) la VPN sin afectar a otros dispositivos en la red
• Enviar todo el tráfico de un dispositivo a través de la VPN, excepto al acceder a contenido o servicios que no permiten conexiones VPN, como MLB.tv o Netflix
• Enviar todo el tráfico a través de la VPN, excepto el contenido y los servicios que requieren baja latencia, como aplicaciones VoIP y juegos en línea
• Solo enruta el tráfico de torrents a través de la VPN, mientras que el resto del tráfico de Internet va a la red predeterminada
• Acceda a la VPN sin afectar su conexión a otros dispositivos en la red local, como impresoras o un servidor de medios Plex

Su imaginación es el límite para la cantidad de aplicaciones para el túnel dividido. Bueno, eso y tu hardware. Los diferentes tipos de túneles divididos tienen diferentes requisitos técnicos. Lo que puede lograr depende en gran medida de su dispositivo, enrutador wifi y servicio VPN.

Antes de comenzar, es importante darse cuenta de que la tunelización dividida requiere un conocimiento técnico avanzado y la implementación fortuita puede generar riesgos de seguridad. Si no configura correctamente su configuración de túnel dividido, su ISP o un tercero podrían acceder a algunos de sus datos confidenciales.

Tipos de túneles divididos

Para los usuarios típicos de VPN, hay cuatro tipos principales de túnel dividido.

El primer tipo es el más simple y es útil si necesita acceder a recursos remotos a través de una VPN y al mismo tiempo mantener una conexión normal a Internet que no sea VPN. Explicaremos cómo hacerlo en los tutoriales a continuación..

El segundo es por dispositivo. Por ejemplo, si desea que su consola de juegos se conecte a Internet sin una VPN, pero su PC y teléfono inteligente se conecten con una VPN. Este tipo de túnel dividido generalmente se realiza en su enrutador wifi. En el popular firmware del enrutador DD-WRT, esto se denomina “enrutamiento basado en políticas”.

El tercer tipo de túnel dividido es por aplicación. Puede configurar una lista negra o una lista blanca de aplicaciones y servicios que desea conectar a la VPN o no desea conectarse a la VPN, respectivamente. Este último a veces se llama túnel dividido “inverso”. Por ejemplo, si solo desea que el tráfico de torrents atraviese la VPN, pero todas sus otras aplicaciones, como juegos y navegadores web, se conecten a Internet sin una VPN, este es el método que desea utilizar. El túnel dividido por aplicación solo funciona en algunas VPN, sistemas operativos y firmware de enrutadores.

El último tipo de túnel dividido le permite enrutar el tráfico en función de su destino en lugar de su origen. Por ejemplo, si desea enrutar todo el tráfico a través de la VPN, excepto el que viaja a Netflix o Hulu. Esto se denomina enrutamiento basado en IP, y es el tipo de túnel dividido más difícil de lograr. Requiere un enrutador o firewall con estado e, incluso si lo tiene, los sitios como Netflix tienen tantas direcciones IP que es difícil hacer que funcione de manera confiable. Como tal, no cubriremos el enrutamiento IP en este artículo.

No todos los sistemas operativos admiten todos los tipos de túneles divididos. De hecho, los usuarios de Windows descubrirán que sus opciones son muy limitadas. Las Mac no son malas, pero los enrutadores con firmware DD-WRT o Tomato ofrecen la mayor versatilidad. Desafortunadamente, también son los más complicados de configurar..

Cómo dividir el túnel en MacOS

Primero, verifique con su proveedor de VPN para ver si su aplicación incluye la funcionalidad integrada de túnel dividido. Si bien no es demasiado común, algunos proveedores como ExpressVPN ofrecen túneles divididos basados ​​en aplicaciones. Con el Conexión por aplicación en la aplicación Mac de ExpressVPN, puede crear una lista negra o una lista blanca de aplicaciones para enrutar a través de la VPN.

Si su aplicación VPN no tiene soporte incorporado para la división de túneles, tendremos que ensuciarnos las manos y hacer las cosas de forma manual..

Necesitará privilegios administrativos de superusuario y una conexión L2TP o PPTP existente, así como la subred de destino para el espacio privado VPN.

1. Ir Preferencias del Sistema > Red
2. En la barra lateral izquierda, haga clic en su conexión VPN y vaya a Ajustes avanzados > Opciones
3. Desmarca la casilla para Enviar todo el tráfico a través de una conexión VPN
4. Guarde sus cambios y conéctese a la VPN
5. Una vez conectado, ve a Solicitud > Utilidades > Terminal
6. Tipo ifconfig en la terminal y presiona Enter. Tome nota de la interfaz utilizada por la VPN. Usando L2TP, esto probablemente será ppp0
7. Inicie sesión como root. Una manera fácil de hacer esto es escribir sudo su en el terminal y autenticar con su contraseña de Mac.
8. Ingrese el siguiente comando, reemplazando >Subred de destino< con la subred que desea enrutar a través de la VPN, y >Interfaz VPN< con la interfaz listada en el paso anterior. ruta agregar -net >Subred de destino< -interfaz >Interfaz VPN<

Ver también: Nuestra lista de proveedores de Mac VPN recomendados.

Cómo dividir el túnel en Windows

Windows es bastante limitado cuando se trata de túneles divididos. No hay forma de que sepamos dividir el túnel por aplicación o destino. En cambio, la opción de túnel dividido en Windows es mucho más amplia. Puede elegir no hacer un túnel del tráfico IPv4 e IPv6 para que solo el tráfico local pase a través de la VPN. Eso es útil si solo necesita usar la VPN para acceder a recursos remotos que no están disponibles desde su conexión a Internet normal, pero no mucho más.

Además, Windows solo divide los protocolos VPN de túneles para los que tiene soporte incorporado. Eso significa que primero deberá configurar una conexión L2TP, SSTP o PPTP. OpenVPN no funcionará aquí.

Este ejemplo utilizará su conexión local para acceder a Internet, mientras que la VPN se utilizará para acceder a recursos remotos, como un servidor empresarial privado al que solo se puede acceder a través de VPN. La VPN solo se usará cuando un host no esté disponible en la red local.

En este tutorial, utilizaremos Windows 10. Asumiremos que ya ha configurado su conexión VPN y que solo necesita habilitar el túnel dividido. Necesitará privilegios de administrador y la subred de destino para su espacio privado VPN.

1. En su barra de búsqueda de Windows, escriba Potencia Shell y haga clic derecho para Ejecutar como administrador
2. Tipo Get-VPNConnection y presione Entrar para que aparezca una lista de todas sus conexiones VPN disponibles. (Pruebo muchas VPN, así que hay varias en mi captura de pantalla, pero es probable que solo tenga una). Tome nota de la Nombre de la VPN que desea dividir túnel.
3. Escribe el siguiente comando y presiona Enter, reemplazando >Nombre de VPN< con el nombre que anotó en el paso anterior: Set-VPNConnection -Name “>Nombre de VPN<“-SplitTunneling $ True

Puede verificar que el túnel dividido esté habilitado ingresando el Get-VPNConnection comando de nuevo. El campo de túnel dividido ahora debe establecerse en True.

Luego, ingrese este comando y tome nota de Descripción campo:

ipconfig / all

Si es necesario, agregue la ruta. Reemplazar >Subred de destino< con la subred que desea enrutar a través de la VPN, y >INTERFAZ< con el nombre del campo Descripción que mencionamos en el último paso:

netsh interfaz ipv4 agregar ruta >Subred de destino< ">NOMBRE DE INTERFAZ<"

Si desea deshabilitar el túnel dividido, ingrese este comando:

Set-VPNConnection -Name ">Nombre de VPN<" -SplitTunneling $ False

División de túneles con su propio servidor OpenVPN en Windows

Si ha creado su propio servidor OpenVPN similar al de nuestro tutorial que usa Amazon EC2, puede habilitar el túnel dividido en Windows editando sus archivos de configuración.

Eliminar redirect-gateway def1 en su archivo de configuración del servidor OpenVPN (probablemente llamado server.conf). En la configuración del cliente (client.ovpn o client.conf), agregue la siguiente línea:

ruta 12.12.12.0 255.255.255.0 vpn_gateway

Esto enruta la subred 12.12.12.0 a través de la conexión VPN y todo lo demás fuera de la conexión no VPN.

Ver también: La mejor VPN para usuarios de Windows 10.

Cómo dividir el túnel en enrutadores DD-WRT

Configurar OpenVPN y hacer túneles divididos en enrutadores DD-WRT es un asunto tedioso y complicado, por lo que si desea seguir la ruta del enrutador, le recomendamos comprar una suscripción a ExpressVPN. Con eso, puede instalar el firmware del enrutador personalizado ExpressVPN o comprar un enrutador con el firmware preinstalado. Es mucho más fácil que configurar todo manualmente.

La MEJOR VPN para dividir el túnel en enrutadores DD-WRT: ExpressVPN es nuestra elección. Esta VPN lidera el camino con sus aplicaciones fáciles de usar y software de enrutador. Tiene una amplia red de servidores que está optimizada para conexiones de alta velocidad. Difícil de superar en privacidad y seguridad. Funciona con todos los principales servicios de transmisión. Hay una garantía de devolución de dinero de 30 días sin objeciones para que pueda probarlo sin riesgos..

Si desea ahorrar unos cuantos dólares y hacer las cosas de la manera difícil, asumiremos que ya configuró su conexión VPN en DD-WRT y la hará funcionar correctamente. DD-WRT le permite dividir el tráfico VPN de túnel de diferentes maneras:

• por dispositivo, denominado “enrutamiento basado en políticas”
• por dirección IP de destino, llamada “enrutamiento IP”
• por aplicación o puerto

Enrutamiento basado en políticas

En el panel de DD-WRT, vaya a Servicio > VPN. Busque el cuadro de enrutamiento basado en políticas e ingrese las direcciones IP para cada uno de los dispositivos que desea utilizar a través de la VPN. Simple como eso!

Si no está seguro de las direcciones IP de sus dispositivos, puede encontrarlas yendo a Estado del enrutador página del panel de control DD-WRT. Bajo la Red sección, encontrar Conexiones IP activas. Haga clic en el número al lado para iniciar el Tabla de conexiones IP activas. Aquí puede ver las direcciones IP de todas las conexiones entrantes y salientes en el enrutador, así como los protocolos y números de puerto.

Enrutamiento basado en puerto

Si desea especificar qué programas o aplicaciones usan la VPN, una forma de hacerlo es dividiendo el túnel por puerto. Es probable que cada aplicación use un puerto diferente, por ejemplo, los navegadores web usan los puertos TCP 80 y 443, Spotify usa el puerto TCP 4070 y Steam usa los puertos UDP 27000 a 27030. Entonces, al especificar qué puertos específicos para enrutar el tráfico VPN, podemos dividir el túnel por aplicación.

Desafortunadamente, esto es más difícil de lo que parece en DD-WRT. Deberá familiarizarse con IPTables, que rige las reglas de firewall de Linux en el firmware. Puede encontrar este tutorial útil como ejemplo.

Ir Administración > Comandos. Debajo Cortafuegos hacer clic Editar e ingrese los comandos necesarios. Luego vaya a la configuración de su cliente OpenVPN en DD-WRT y busque el Configuración adicional cuadro para modificar su configuración de OpenVPN.

Enrutamiento IP de destino

Si desea canalizar el tráfico por su destino, es decir, por el sitio web o algún otro tipo de servidor, el enrutamiento IP podría ser el truco.

Vaya a la configuración de su cliente OpenVPN en DD-WRT y busque el Configuración adicional caja. Introduzca la siguiente:

ruta-nopull
ruta XXX.XXX.XXX.XXX 255.255.255.255 net_gateway
ruta YYY.YYY.YYY.YYY 255.ZZZ.ZZZ.0 vpn_gateway

Reemplace las X con la misma dirección que ingresó en Servidor IP campo de su configuración de OpenVPN. Reemplace las Ys con la dirección IP del servidor al que desea enrutar el tráfico VPN, y las Zs con la subred apropiada (esta última será 255.255.255.0).

Tenga en cuenta que si desea enrutar todo el tráfico VPN que va a un sitio web específico, deberá agregar las direcciones IP y las subredes para todos los servidores que utiliza el sitio web. Netflix, por ejemplo, usa varias docenas de IP y pueden cambiar en cualquier momento, por lo que deberá encontrar una lista actualizada de IP de Netflix y actualizar esta configuración regularmente.

Cómo dividir el túnel en los enrutadores de tomate

El tomate no tiene un enrutamiento basado en políticas incorporado como DD-WRT, por lo que está prácticamente atascado con el uso de IPTables para hacer el trabajo. En el panel de control de Tomato, con su conexión OpenVPN ya configurada y funcionando, este es un ejemplo de cómo habilitar el enrutamiento selectivo.

Ir Administración > Guiones > Cortafuegos y agregue estos comandos:

iptables -I ADELANTE -i br0 -o tun11 -j ACEPTAR
iptables -I ADELANTE -i tun11 -o br0 -j ACEPTAR
iptables -I INPUT -i tun11 -j RECHAZAR
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE

Haga clic en la pestaña “WAN Up” y agregue estos comandos, reemplazando >DIRECCIÓN IP ORIGEN< con la IP local del dispositivo que desea enrutar a través de la VPN:

dormir 30
ip route flush table 200
ip cache flush cache
ip rule add from >DIRECCIÓN IP ORIGEN< búsqueda 200
VPN_GW = `ifconfig tun11 | awk ‘/ inet addr / {split ($ 2, A,":"); imprimir A [2]} ”
ruta IP agregar tabla 200 por defecto a través de $ VPN_GW dev tun11

En la barra lateral izquierda, ve a Túnel de VPN > Cliente OpenVPN. En su configuración de cliente OpenVPN, vaya a Avanzado. Debajo Configuración personalizada, agrega este comando:

ruta-nopull

Túnel dividido por Paulio Geordio licenciado bajo CC BY 2.0