VPN Split Tunneling para acesso simultâneo à Internet e uma Intranet

Quando um cliente Windows faz uma conexão VPN, ele automaticamente adiciona uma nova rota padrão para a conexão VPN e modifica a rota padrão existente que aponta para a Internet para ter uma métrica mais alta. Adicionar a nova rota padrão significa que locais na Internet, exceto o endereço IP do servidor VPN não estão acessíveis duração a conexão  VPN.

Exemplo:

Tabela de rotas IPv4
===========================================================================
Rotas ativas:
Endereço de rede          Máscara   Ender. gateway       Interface          Custo
0.0.0.0                   0.0.0.0      192.168.1.1            192.168.1.102   4245
===========================================================================
Rotas persistentes:
Endereço de rede         Máscara  Ender. gateway    Custo
0.0.0.0                   0.0.0.0     10.252.128.1       1
===========================================================================

Neste exemplo, o default gateway da placa de rede é 162.168.1.1. Ao conectar na VPN, é criada uma rota permanente com default gateway 10.252.128.1 e Custo menor (1).

Para evitar que a nova rota padrão seja criada, selecione “Internet Protocol (TCP/IP)” na guia “Rede” das propriedades da conexão VPN. Clique em “Propriedades” e, em seguida, clique em “Avançado”. Em configurações avançadas de TCP/IP, na guia “Geral”, desmarque a opção “Utilizar gateway padrão em rede remota”, conforme figura abaixo.

image

Quando a opção “Utilizar gateway padrão em rede remota” está desmarcada, uma rota padrão não é criada; no entanto, uma rota que corresponde à identificação de rede baseada na classe de endereço de IP é criada. Por exemplo, se o endereço atribuído durante o processo de conexão é 10.0.12.119, o cliente de VPN cria uma rota para a identificação de rede baseada na classe 10.0.0.0 com máscara de sub-rede 255.0.0.0.

Dependendo da configuração “Utilizar gateway padrão na configuração de rede remota”, o seguinte ocorre quando a conexão VPN estiver ativa:

* Quando a opção estiver desmarcada, locais de Internet são alcançáveis e locais na intranet não são alcançáveis, exceto aqueles correspondentes a ID de rede de classe de endereço de Internet o endereço de IP atribuído.

* Quando a opção estiver selecionada (a configuração padrão), todos os locais na intranet são alcançáveis e locais da Internet não estão acessíveis, exceto para o endereço do servidor VPN e locais disponíveis através de outras vias.

Para a maioria dos clientes VPN conectados à Internet, esse comportamento não representa um problema porque eles são normalmente utilizam a intranet ou Internet, mas não ambos.

Para clientes VPN ter acesso simultâneo aos recursos de Internet e intranet, quando a conexão VPN estiver ativa, você pode fazer o seguinte:

* Selecione a opção “Utilizar gateway padrão em rede remota” verificar caixa e permitir acesso à Internet através da intranet da organização.

Todo tráfego de rede entre o cliente VPN e a Internet passa através dos firewalls da organização ou servidores proxy, como se o cliente VPN está fisicamente conectado à intranet da organização. Embora possa haver um impacto no desempenho de acesso a recursos de Internet, este método permite acesso à Internet filtrado e monitorado, de acordo com as diretivas de rede da organização, enquanto o cliente VPN está conectado à rede da organização. Por exemplo, se os servidores de proxy de Web organização bloqueiam o acesso a determinados tipos de sites de Web sites, esses sites também irão ser bloqueados quando clientes VPN estiverem conectados à rede da organização.

* Se o endereçamento dentro de sua intranet baseia-se em uma ID de rede baseada em classe única, desmarque a opção “Utilizar gateway padrão em rede remota”.

Por exemplo, se sua intranet usa 10.0.0.0/8 somente IPs privados, clientes VPN conectados,  automaticamente irão criar uma rota 10.0.0.0/8 sobre a conexão de VPN, tornando todos os locais na intranet da organização acessíveis.

Se o endereçamento dentro da intranet não é baseado em uma ID de rede baseada em classe única , desmarque a opção “Utilizar gateway padrão em rede remota” e use a opção:

Usando a opção “Classless Static Routes DHCP”

O uso desse método fornece rotas explícitas para a intranet e também é conhecido como Split Tunneling.

Clientes VPN enviam uma mensagem DHCPInform para o servidor VPN, solicitando um conjunto de opções de DHCP. Isso é feito para que o cliente possa obter uma lista atualizada de servidores DNS e WINS e um nome de domínio DNS que é atribuído à conexão VPN.

————————-

Até aqui foi revisado –

Referência: http://technet.microsoft.com/en-us/library/bb878117.aspx

 

Clientes VPN de baseados em Windows Server 2003 e Windows XP incluem a opção de Classless Static DHCP de rotas na sua lista de opções de DHCP solicitadas. Se configurado no servidor DHCP, a opção de DHCP de rotas estáticas sem classe contém um conjunto de rotas que representa o espaço de endereçamento da sua intranet. Essas rotas são adicionadas automaticamente à tabela de roteamento do cliente solicitante quando ele recebe a resposta à mensagem DHCPInform e removidas automaticamente quando a conexão VPN é encerrada.

O serviço de servidor de DHCP do Windows Server 2003 suporta a configuração da opção de Classless rotas estáticas (opção número 249). A figura a seguir mostra a opção snap-in do DHCP.

Para usar a opção de Classless rotas estáticas para túnel dividido, configure essa opção para o escopo que corresponde à sub-rede da intranet para que o servidor VPN está conectado. Em seguida, adicione o conjunto de rotas que correspondem ao espaço de endereçamento resumidos da intranet da organização. Por exemplo, se você usar o espaço de endereçamento IP privado para a intranet da organização, a opção de rotas estáticas Classless teria as seguintes três rotas:

10.0.0.0 com máscara de sub-rede de 255.0.0.0

172.16.0.0 com máscara de sub-rede de 255.240.0.0

192.168.0.0 com a máscara de sub-rede de 255.255.0.0

O endereço de IP do roteador para cada rota adicionado a opção de rotas estáticas sem classes deve ser definido para o endereço IP de uma interface de roteador na sub-rede da intranet para que o servidor VPN está conectado. Por exemplo, se o servidor VPN está conectado para a intranet 10.89.211.0/24 de sub-rede e o endereço IP do roteador da intranet desta sub-rede é 10.89.21.1, defina o endereço IP do roteador para cada rota para 10.89.21.1.

Problemas de segurança do túnel dividido

Quando um computador de cliente VPN está conectado à Internet e uma intranet privada e tem rotas que permitem a acessibilidade para as duas redes, existe a possibilidade de que um usuário mal-intencionado da Internet pode usar o computador de cliente VPN conectado para chegar a intranet privada, através da conexão VPN autenticada. Isso é possível se o computador de cliente VPN tem o roteamento de IP ativado. Roteamento IP está ativado em computadores baseados no Windows XP, definindo a entrada de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip \Parameters\IPEnableRouter 1 (é de tipo de dados REG_DWORD).

Se você deve usar encapsulamento dividido, pode ajudar a impedir o tráfego indesejado da Internet, fazendo o seguinte:

Use o recurso de controle de quarentena de acesso à rede no Windows Server 2003 para verificar se os clientes VPN conectados tem roteamento de IP ativado e, em caso afirmativo, não permitir o acesso VPN até que ele foi desativado. Para obter mais informações, consulte controle de quarentena de acesso à rede (fevereiro de 2003 artigo Cable Guy).

Filtros de pacotes IP de uso sobre o perfil de diretiva de acesso remoto VPN para descartar tanto tráfego de entrada na conexão VPN que não foi enviada do cliente VPN e o tráfego de saída que não é destinado para o cliente VPN. A diretiva de acesso remoto padrão chamada conexões para Microsoft roteamento e o servidor de acesso remoto no Windows Server 2003 tem esses filtros de pacote configurados por padrão.

Observação usando os métodos acima não impede que o tráfego indesejado se um usuário mal-intencionado da Internet é controlar remotamente o computador de cliente VPN. Para evitar isso, certifique-se de que o computador de cliente VPN tem um firewall habilitado (como o Firewall de conexão de Internet no Windows XP) e um programa antivírus instalado e em execução com o arquivo de assinatura de vírus mais recente instalado. Estas são também as configurações que podem ser verificadas e aplicadas ao usar o controle de quarentena de acesso à rede.

Esse post foi publicado em Uncategorized. Bookmark o link permanente.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s