好吧,这就是难题,我希望远程客户端连接到我的网络,并且仅通过 VPN 路由本地访问。这就是分割隧道,客户端使用其互联网连接处理所有其他互联网请求,并使用 VPN 隧道连接到我的网络处理本地请求。
出现了几个问题:Windows 中的拆分隧道是通过取消勾选客户端 VPN 连接的 TCP/IP 设置中的“在远程网络上使用默认网关”选项来实现的。用户可以随时勾选它,并将所有互联网流量路由到我的网络,从而占用我的带宽并被我的 IP 地址隐藏。这是不可接受的。
问题 2 是,如果客户端正在拆分隧道,他将成为互联网和我的网络之间的网关,这也是不可接受的。
我的问题是:如何在服务器端实现分割隧道?后者是否是一个值得担心的合理缺点?
任何想法都将不胜感激!
答案1
有几种方法可以防止这种情况发生。第一种方法,也是最简单的方法,就是在 VPN 服务器上设置防火墙规则,禁止任何不发往本地子网的流量。有了这些规则,任何“互联网绑定”的流量都会被丢弃。
如果您没有选择更改防火墙,那么您可以将外部 NAT 盒配置为拒绝为您的 VPN 客户端子网执行 NAT 职责。
关于“问题 2”。客户端究竟如何“成为互联网和您的网络之间的网关”?要实现这一点,需要制定路由规则。