Cách phân chia lưu lượng VPN đường hầm trên Windows, MacOS, DD-WRT và Tomato


Chia đường hầm cho phép người dùng VPN định tuyến lưu lượng truy cập từ các ứng dụng hoặc thiết bị được chỉ định thông qua VPN trong khi lưu lượng truy cập từ các ứng dụng và thiết bị khác đi qua mạng không phải VPN mặc định. Chia đường hầm có thể được sử dụng cho một số mục đích khác nhau bao gồm:

  • Cho phép sử dụng internet bình thường đồng thời truy cập tài nguyên chỉ có sẵn cho người dùng VPN, chẳng hạn như máy chủ doanh nghiệp
  • Thiết lập các thiết bị cụ thể, chẳng hạn như bảng điều khiển trò chơi hoặc hộp phương tiện truyền phát trực tuyến, để sử dụng (hoặc không sử dụng) VPN mà không ảnh hưởng đến các thiết bị khác trên mạng
  • Gửi tất cả lưu lượng truy cập của một thiết bị qua VPN ngoại trừ khi truy cập nội dung hoặc dịch vụ không cho phép kết nối VPN, như MLB.tv hoặc Netflix
  • Gửi tất cả lưu lượng truy cập thông qua VPN ngoại trừ nội dung và dịch vụ yêu cầu độ trễ thấp, chẳng hạn như các ứng dụng VoIP và trò chơi trực tuyến
  • Chỉ định tuyến lưu lượng truy cập torrent thông qua VPN, trong khi tất cả lưu lượng truy cập internet khác đi đến mạng mặc định
  • Truy cập VPN mà không ảnh hưởng đến kết nối của bạn với các thiết bị khác trên mạng cục bộ, chẳng hạn như máy in hoặc Máy chủ Plex Media

Trí tưởng tượng của bạn là giới hạn số lượng ứng dụng cho đường hầm phân chia. Vâng, đó và phần cứng của bạn. Các loại đường hầm khác nhau có yêu cầu kỹ thuật khác nhau. Những gì bạn có thể đạt được phụ thuộc rất nhiều vào thiết bị, bộ định tuyến wifi và dịch vụ VPN của bạn.

Trước khi bạn bắt đầu, điều quan trọng là phải nhận ra rằng việc phân chia đường hầm đòi hỏi một số kiến ​​thức kỹ thuật nâng cao và việc thực hiện khó khăn có thể dẫn đến rủi ro bảo mật. Nếu bạn không định cấu hình chính xác các cài đặt đường hầm phân chia của mình, ISP hoặc bên thứ ba của bạn có thể truy cập một số dữ liệu nhạy cảm của bạn.

Các loại đường hầm phân chia

Đối với người dùng VPN thông thường, có bốn loại đường hầm phân chia chính.

Loại đầu tiên là đơn giản nhất và hữu ích nếu bạn cần truy cập tài nguyên từ xa thông qua VPN trong khi vẫn duy trì kết nối không phải VPN thông thường với internet. Chúng tôi sẽ giải thích làm thế nào để làm điều này trong các hướng dẫn dưới đây.

Thứ hai là bằng thiết bị. Ví dụ: nếu bạn muốn bảng điều khiển trò chơi của mình kết nối với internet mà không cần VPN, nhưng PC và điện thoại thông minh của bạn sẽ kết nối với VPN. Loại đường hầm phân chia này thường được thực hiện trên bộ định tuyến wifi của bạn. Trong phần sụn của bộ định tuyến DD-WRT phổ biến, đây được gọi là định tuyến dựa trên chính sách.

Loại đường hầm phân chia thứ ba là theo ứng dụng. Bạn có thể thiết lập danh sách đen hoặc danh sách trắng các ứng dụng và dịch vụ mà bạn muốn kết nối với VPN hoặc don muốn muốn kết nối với VPN, tương ứng. Cái sau đôi khi được gọi là đường hầm chia đảo ngược. Ví dụ: nếu bạn chỉ muốn lưu lượng truy cập torrent đi qua VPN, nhưng tất cả các ứng dụng khác của bạn như trò chơi và trình duyệt web kết nối với internet mà không cần VPN, đây là phương pháp bạn muốn sử dụng. Chia đường hầm theo ứng dụng chỉ hoạt động trên một số VPN, hệ điều hành và phần sụn của bộ định tuyến.

Loại cuối cùng của đường hầm phân chia cho phép bạn định tuyến lưu lượng dựa trên đích của nó chứ không phải nguồn của nó. Ví dụ: nếu bạn muốn định tuyến tất cả lưu lượng truy cập thông qua VPN ngoại trừ việc di chuyển tới Netflix hoặc Hulu. Đây được gọi là định tuyến dựa trên IP và nó là loại đường hầm phân chia khó thực hiện nhất. Nó đòi hỏi một bộ định tuyến hoặc tường lửa có trạng thái và thậm chí nếu bạn có điều đó, các trang web như Netflix có rất nhiều địa chỉ IP mà nó khó có thể khiến nó hoạt động đáng tin cậy. Như vậy, chúng tôi đã giành chiến thắng trên mạng trong bài viết này.

Không phải tất cả các hệ điều hành đều hỗ trợ tất cả các loại đường hầm phân chia. Trên thực tế, người dùng Windows sẽ thấy rằng các tùy chọn của họ bị hạn chế nghiêm trọng. Máy Mac không tốt, nhưng các bộ định tuyến với phần mềm DD-WRT hoặc Tomato cung cấp tính linh hoạt nhất. Thật không may, chúng cũng phức tạp nhất để cấu hình.

Cách chia đường hầm trên MacOS

Trước tiên, hãy kiểm tra với nhà cung cấp VPN của bạn để xem ứng dụng của họ có bao gồm chức năng chia đường hầm tích hợp hay không. Mặc dù không quá phổ biến, một số nhà cung cấp như ExpressVPN cung cấp đường hầm phân chia dựa trên ứng dụng. Với Kết nối trên mỗi ứng dụng Tính năng trên ứng dụng ExpressVPNTHER Mac, bạn có thể tạo danh sách đen hoặc danh sách trắng các ứng dụng để định tuyến qua VPN.

Nếu ứng dụng VPN của bạn không có tích hợp hỗ trợ cho việc phân chia đường hầm, chúng tôi sẽ phải làm bẩn tay và làm mọi thứ theo cách thủ công.

Bạn sẽ cần các đặc quyền quản trị siêu người dùng và kết nối L2TP hoặc PPTP hiện có, cũng như mạng con đích cho không gian riêng của VPN.

  1. Đi đến Tùy chọn hệ thống > Mạng
  2. Trong thanh bên trái, nhấp vào kết nối VPN của bạn và đi đến Cài đặt nâng cao > Tùy chọn
  3. Bỏ chọn hộp cho Gửi tất cả lưu lượng truy cập qua kết nối VPNchia đường hầm mac 3
  4. Lưu các thay đổi của bạn và kết nối với VPN
  5. Sau khi kết nối, hãy đi đến Ứng dụng > Tiện ích > Thiết bị đầu cuối
  6. Kiểu ifconfig vào terminal và nhấn Enter. Ghi lại giao diện được sử dụng bởi VPN. Sử dụng L2TP, điều này có thể sẽ là ppp0chia đường hầm mac 2
  7. Đăng nhập bằng root. Một cách dễ dàng để làm điều này là gõ sudo su vào thiết bị đầu cuối và xác thực bằng mật khẩu Mac của bạn.chia đường hầm mac 1_2
  8. Nhập lệnh sau, thay thế >BỆNH NHÂN< với mạng con bạn muốn định tuyến qua VPN và >Giao diện VPN< với giao diện được liệt kê ở bước trước. Định tuyến thêm -net >BỆNH NHÂN< -giao diện >Giao diện VPN<

Xem thêm: Danh sách các nhà cung cấp Mac VPN được đề xuất của chúng tôi.

Cách chia đường hầm trên Windows

Windows khá hạn chế khi phân chia đường hầm. Không có cách nào mà chúng tôi nhận thức được để phân chia đường hầm theo ứng dụng hoặc đích. Thay vào đó, tùy chọn chia đường hầm trong Windows rộng hơn nhiều. Bạn có thể chọn không đường hầm lưu lượng truy cập IPv4 và IPv6 để chỉ lưu lượng truy cập cục bộ đi qua VPN. Điều đó rất hữu ích nếu chỉ cần sử dụng VPN để truy cập các tài nguyên từ xa không có sẵn từ kết nối internet thông thường của bạn, nhưng không phải là nhiều thứ khác.

Hơn nữa, Windows chỉ phân chia các giao thức VPN mà nó có hỗ trợ tích hợp. Điều đó có nghĩa là bạn sẽ cần phải định cấu hình kết nối L2TP, SSTP hoặc PPTP trước tiên. OpenVPN giành chiến thắng tại đây.

Ví dụ này sẽ sử dụng kết nối cục bộ của bạn để truy cập internet trong khi VPN sẽ được sử dụng để truy cập các tài nguyên từ xa, chẳng hạn như máy chủ doanh nghiệp tư nhân chỉ có thể được truy cập qua VPN. VPN sẽ chỉ được sử dụng khi máy chủ lưu trữ có sẵn trên mạng cục bộ.

Trong hướng dẫn này, sẽ sử dụng Windows 10. Chúng tôi sẽ cho rằng bạn đã thiết lập kết nối VPN của mình và bạn chỉ cần kích hoạt phân chia đường hầm. Bạn sẽ cần đặc quyền quản trị viên và mạng con đích cho không gian riêng tư VPN của bạn.

  1. Trong thanh tìm kiếm Windows của bạn, nhập Quyền hạn và nhấp chuột phải vào nó để Chạy như quản trị viênchia cửa sổ đường hầm 1
  2. Kiểu Nhận kết nối VPN và nhấn Enter để hiển thị danh sách tất cả các kết nối VPN có sẵn của bạn. (Tôi đã kiểm tra rất nhiều VPN nên có một số trong ảnh chụp màn hình của tôi, nhưng bạn có thể chỉ có một VPN.) Hãy ghi chú lại Tên của VPN mà bạn muốn chia đường hầm.chia cửa sổ đường hầm 2
  3. Nhập lệnh sau và nhấn Enter, thay thế >TÊN VPN< với tên bạn đã lưu ý ở bước trước: Set-VPNConnection -Name>TÊN VPN<Mùi -SplitTunneling $ True

Bạn có thể kiểm tra xem đường hầm phân chia có được bật hay không bằng cách nhập Nhận kết nối VPN lại lệnh. Trường đường hầm phân chia nên được đặt thành True.chia cửa sổ đường hầm 3

Tiếp theo, nhập lệnh này và ghi chú Sự miêu tả cánh đồng:

ipconfig / all

Nếu cần thiết, thêm tuyến đường. Thay thế >BỆNH NHÂN< với mạng con bạn muốn định tuyến qua VPN và >Giao diện< với tên của trường Mô tả mà chúng tôi đã đề cập ở bước cuối cùng:

giao diện Netsh ipv4 thêm tuyến >BỆNH NHÂN< ">TÊN GIAO DỊCH<"

Nếu bạn muốn tắt đường hầm phân chia, hãy nhập lệnh này:

Đặt-VPNConnection -Name ">TÊN VPN<" -SplitTunneling $ Sai

Tách đường hầm với máy chủ OpenVPN của riêng bạn trên Windows

Nếu bạn đã tạo ra máy chủ OpenVPN của riêng mình tương tự như máy chủ trong hướng dẫn của chúng tôi sử dụng Amazon EC2, bạn có thể kích hoạt phân chia đường hầm trên Windows bằng cách chỉnh sửa các tệp cấu hình của mình.

Tẩy chuyển hướng cổng def1 trong tệp cấu hình máy chủ OpenVPN của bạn (có thể được gọi là server.conf). Trong cấu hình máy khách (client.ovpn hoặc client.conf), thêm dòng sau:

tuyến đường 12.12.12.0 255.255.255.0 vpn_gateway

Điều này định tuyến mạng con 12.12.12.0 thông qua kết nối VPN và mọi thứ khác ngoài kết nối không phải VPN.

Xem thêm: VPN tốt nhất cho người dùng Windows 10.

Cách chia đường hầm trên các bộ định tuyến DD-WRT

Thiết lập OpenVPN và phân chia đường hầm trên các bộ định tuyến DD-WRT là công việc tẻ nhạt và khó khăn, vì vậy nếu bạn muốn đi theo tuyến bộ định tuyến thì chúng tôi khuyên bạn nên mua đăng ký để ExpressVPN. Cùng với đó, bạn có thể cài đặt chương trình cơ sở bộ định tuyến tùy chỉnh ExpressVPN hoặc mua bộ định tuyến với chương trình cơ sở được cài đặt sẵn. Nó dễ dàng hơn nhiều so với thiết lập mọi thứ bằng tay.

bộ định tuyến expressvpn

VPN TỐT NHẤT để phân chia đường hầm trên các bộ định tuyến DD-WRT: ExpressVPN là lựa chọn của chúng tôi. VPN này dẫn đầu với các ứng dụng và phần mềm bộ định tuyến không dễ sử dụng. Nó có một mạng máy chủ rộng lớn được tối ưu hóa cho các kết nối tốc độ cao. Khó đánh bại sự riêng tư và bảo mật. Hoạt động với tất cả các dịch vụ phát trực tuyến lớn. Có bảo đảm hoàn lại tiền trong vòng 30 ngày để bạn có thể dùng thử không có rủi ro.

Nếu bạn muốn tiết kiệm một vài đô la và thực hiện mọi việc một cách khó khăn, chúng tôi sẽ cho rằng bạn đã thiết lập kết nối VPN của mình trong DD-WRT và để nó hoạt động bình thường. DD-WRT cho phép bạn phân chia lưu lượng VPN đường hầm theo một số cách khác nhau:

  • bằng thiết bị, được gọi là định tuyến dựa trên chính sách
  • theo địa chỉ IP đích, được gọi là định tuyến IP IP
  • bằng ứng dụng hoặc cổng

Định tuyến dựa trên chính sách

Trong bảng điều khiển DD-WRT, đi đến Dịch vụ > VPN. Tìm hộp định tuyến dựa trên Chính sách và nhập địa chỉ IP cho từng thiết bị bạn muốn đi qua VPN. Đơn giản như thế!

Nếu bạn không chắc chắn về địa chỉ IP của thiết bị, bạn có thể tìm thấy chúng bằng cách đi đến Trạng thái bộ định tuyến trang của bảng điều khiển DD-WRT. Phía dưới cái Mạng phần, tìm Kết nối IP hoạt động. Nhấp vào số bên cạnh để khởi chạy Bảng kết nối IP hoạt động. Tại đây bạn có thể xem địa chỉ IP cho tất cả kết nối đến và đi trên bộ định tuyến, cũng như các giao thức và số cổng.

Định tuyến dựa trên cổng

Nếu bạn muốn chỉ định chương trình hoặc ứng dụng nào sử dụng VPN, một cách để làm điều này là phân chia đường hầm theo cổng. Mỗi ứng dụng có thể sử dụng một cổng khác nhau, ví dụ trình duyệt web sử dụng cổng TCP 80 và 443, Spotify sử dụng cổng TCP 4070 và Steam sử dụng cổng UDP 27000 đến 27030. Vì vậy, bằng cách chỉ định cổng cụ thể nào để định tuyến lưu lượng truy cập VPN, chúng tôi có thể phân chia đường hầm bằng ứng dụng.

Thật không may, điều này khó khăn hơn so với âm thanh trên DD-WRT. Bạn sẽ cần phải tự làm quen với IPTables, chi phối các quy tắc tường lửa Linux trong phần sụn. Bạn có thể thấy hướng dẫn này hữu ích như một ví dụ.

Đi đến Quản trị > Các lệnh. Dưới Bức tường lửa nhấp chuột Biên tập và nhập các lệnh cần thiết. Sau đó đi đến cấu hình máy khách OpenVPN của bạn trong DD-WRT và tìm Cấu hình bổ sung hộp để sửa đổi cấu hình OpenVPN của bạn.

Định tuyến IP đích

Nếu bạn muốn đường hầm lưu lượng truy cập theo đích của nó, tức là theo trang web hoặc một số loại máy chủ khác, thì định tuyến IP có thể thực hiện thủ thuật.

Chuyển đến cấu hình máy khách OpenVPN của bạn trong DD-WRT và tìm Cấu hình bổ sung cái hộp. Nhập theo chỉ dẫn:

tuyến đường
tuyến đường XXX.XXX.XXX.XXX 255.255.255.255 net_gateway
tuyến đường YYY.YYY.YYY.YYY 255.ZZZ.ZZZ.0 vpn_gateway

Thay thế các X bằng cùng một địa chỉ bạn đã nhập IP máy chủ trường cấu hình OpenVPN của bạn. Thay thế Ys bằng địa chỉ IP của máy chủ mà bạn muốn định tuyến lưu lượng VPN đến và Zs bằng mạng con phù hợp (cái sau thường sẽ là 255.255.255.0).

Lưu ý rằng nếu bạn muốn định tuyến tất cả lưu lượng VPN đến một trang web cụ thể, thì bạn sẽ cần thêm địa chỉ IP và mạng con cho tất cả các máy chủ mà trang web sử dụng. Ví dụ, Netflix sử dụng vài chục IP và chúng có thể thay đổi bất cứ lúc nào, vì vậy bạn sẽ cần tìm một danh sách cập nhật IP Netflix và cập nhật cấu hình này thường xuyên.

Cách chia đường hầm trên bộ định tuyến Tomato

Tomato doesn không có định tuyến dựa trên chính sách được nướng trong như DD-WRT, do đó, bạn rất khó khăn khi sử dụng IPTables để hoàn thành công việc. Trên bảng điều khiển Tomato, với kết nối OpenVPN của bạn đã được thiết lập và hoạt động, đây là một ví dụ về cách bật định tuyến chọn lọc.

Đi đến Quản trị > Chữ viết > Bức tường lửa và thêm các lệnh sau:

iptables -I FORWARD -i br0 -o tun11 -j CHẤP NHẬN
iptables -I FORWARD -i tun11 -o br0 -j CHẤP NHẬN
iptables -I INPUT -i tun11 -j DỰ ÁN
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE

Nhấp vào tab của mạng LAN lên mạng và thêm các lệnh này, thay thế >NGUỒN ĐỊA CHỈ IP< với IP cục bộ của thiết bị bạn muốn định tuyến qua VPN:

ngủ 30
lộ trình ip bảng 200
ip tuyến bộ đệm cache
quy tắc ip thêm từ >NGUỒN ĐỊA CHỈ IP< tra cứu 200
VPN_GW = `ifconfig tun11 | awk ‘/ inet addr / {split ($ 2, A,":"); in A [2]} ‘`
tuyến đường ip thêm bảng 200 mặc định thông qua $ VPN_GW dev tun11

Ở thanh bên trái, đi đến Đường hầm VPN > Khách hàng OpenVPN. Trên cấu hình máy khách OpenVPN của bạn, đi đến Nâng cao. Dưới Cấu hình tùy chỉnh, thêm lệnh này:

tuyến đường

Chia đường hầm bởi Paulio Geordio được cấp phép theo CC BY 2.0

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me