Я совсем новичок, так что будьте терпимы. Надеюсь, я попал в нужный раздел. Два вопроса: 1. Реально ли использовать сплит-туннелинг при подключении через VPN, созданный на Unifi? 2. Если да, есть ли подробная инструкция? С картинками? Видео?
У нас роутер Unifi, и мы настроили VPN через веб-интерфейс Unifi. Я могу спокойно подключаться к VPN с моего Windows 10 дома или в библиотеке. Но вот не могу подключиться по RDP к разным машинам в офисной локальной сети. Похоже, сплит-туннелинг — это то, что нужно, но найти решения от Ubiquiti по этому поводу оказалось сложно.
Спасибо за любую помощь!
ST_Admin
Guest
30.04.2020 18:56:00
Это просто. Большинство VPN-решений позволяют нам создать пул адресов внутри той же подсети или пересекающийся с подсетью LAN. Фактически, это позволяет подключаться к той же подсети при использовании DHCP. В приведённом примере адрес VPN — 172.20.100.x. Если ваша подсеть LAN — 192.168.2.x, то у клиента L2TP есть всего два варианта маршрутизации. Первый — пропустить ВСЕ трафик через VPN, а уже сеть UniFi решает, что адресовано локальной сети, а что — другим пунктам назначения (полный туннель). Второй — так называемый сплит-туннелинг. В Windows клиент L2TP формирует таблицу маршрутизации для сплит-туннеля, исходя из адреса, полученного и назначенного VPN-интерфейсу. ОН НЕ ПОЛУЧАЕТ НИКАКОГО МАРШРУТА. Даже маршрута по умолчанию. Он сам вычисляет маршрут по умолчанию, опираясь на устаревшие публикуемые определения подсетей. Сети 172.x.x.x относятся к классу B, поэтому Windows устанавливает VPN-сервер в качестве шлюза для подсети размера 16 (255.255.0.0). Это значит, что если подсеть LAN попадает в диапазон 172.20.101.x (рядом с подсетью VPN 172.20.100.x), клиент определит, что трафик — это VPN-трафик. Но если подсеть LAN — 192.168.2.x, а VPN — 172.20.100.x, клиент подумает, что трафик для 192.168.2.x надо отправлять в интернет, а не через VPN-интерфейс. Ниже приведены примеры с учётом того, что используется сплит-туннелинг:
192.168.2.x — класс C — Windows устанавливает размер подсети 24 (255.255.255.0), из-за чего трафик в любую другую подсеть отправляется в интернет, а не через VPN. Например, VPN с 192.168.3.x и LAN с 192.168.2.x — клиент пошлёт весь трафик для LAN в интернет.
172.20.100.x — класс B — Windows выставит размер подсети 16 (255.255.0.0), значит трафик в любую подсеть с префиксом 172.20.x.x пойдёт через VPN, остальной уходит в интернет. Подсети LAN 172.20.101.x и VPN 172.20.100.x отлично сработают, поскольку они в одном классовом подряде. Всё, что вне этого диапазона, уйдёт в интернет. Значит, если LAN — 172.21.100.x, а VPN — 172.20.100.x, клиент перепутает маршрутизацию и направит LAN-трафик в интернет.
10.10.10.x — класс A — Windows устанавливает размер подсети 8 (255.0.0.0), значит любой трафик, начинающийся с 10.x.x.x, будет идти через VPN, остальное — в интернет. LAN 10.15.15.x и VPN 10.10.10.x подходят, потому что обе подсети в одном классовом диапазоне. Всё, что вне этого, уходит в интернет. LAN 192.168.2.x и VPN 10.10.10.x — трафик в LAN по ошибке пойдёт в интернет.
Всё это — вычисления, основанные на стандартах маршрутизации по классам. Недавно Windows добавила ещё одну опцию, рядом со сплит-туннелингом (use default gateway on remote network), под названием «disable class based routing addition», которая отключает эту логику и, как я понимаю, просто добавляет маршрут /24 (255.255.255.0) для подсети, в которой находится адрес VPN. Это объясняет, почему решение vvv850 работает.
Другие VPN-решения позволяют выдавать VPN-адреса по DHCP или изнутри LAN-подсети.
Итого — три решения общей проблемы в настройках Ubiquiti:
1. Разместить адрес LAN и VPN внутри одного класса подсети (172.20.x.x или 10.x.x.x) и избегать использования адресов 192.168.x.x. 2. Разделить вашу /24 LAN-подсеть на меньшие подсети и добавить выделенную подсеть для VPN. 3. Добавить на клиенте статический маршрут, который укажет, что трафик в подсеть LAN должен маршрутизироваться через VPN-шлюз. Утомительно!
Для таблицы классов адресов . И не забывайте, выбирая класс адресов, брать из подсетей, зарезервированных под частные сети. Подробнее:
Надеюсь, это поможет.
vvv850
Guest
19.02.2019 07:26:00
Могу подтвердить, что если отключить «Use default gateway on remote network», то включается сплит-туннелинг. У меня тоже была проблема, что это не работало, но смена диапазона IP-адресов в VPN-сети в Unifi всё решила. Точно не знаю почему, но не работало при использовании 192.168.10.1 (этот подсет не используется там, откуда я подключаюсь). После смены на 10.199.200.1/24 всё заработало.
cfranckeCLD
Guest
27.01.2019 10:11:00
Всем привет! Снова ссылаюсь на статью, которая была опубликована ранее: . Вы читали раздел «Additional Notes & Considerations» в конце документа?
L2TP не имеет метода распределения маршрутов. Если на клиентском устройстве не включена опция отправлять «весь» трафик через туннель, придется вручную добавить маршруты на клиенте, указывающие на локальные сети USG. Поискать информацию о том, как включить передачу всего трафика через VPN, можно в документации к конкретному клиентскому устройству.
По сути, это означает, что если за VPN находится больше одной сети, нужно настраивать статические маршруты.
Смотрите в качестве примера эту статью. Их гораздо больше:
С уважением, Christian
andremain
Guest
22.08.2018 17:16:00
На стороне ПК (клиент) не используется разделённый туннелинг.
dan10
Guest
20.08.2018 20:16:00
Есть ли в USG настройка, которая как-то позволяет включить сплит-туннелинг?
andremain
Guest
02.04.2018 05:42:00
Это видео показывает, как включить разделённый туннель в Windows: . В то время как это видео объясняет, как решить проблему с доступом к общим папкам Windows и удалённому рабочему столу на Windows 10 при использовании VPN.
