VPN 分流隧道 - 并非所有流量都需要经过 VPN
使用 VPN 时,所有互联网流量都会经过 VPN 服务器。从安全角度来看这是理想的,但会导致速度下降,以及无法访问局域网上的打印机或 NAS 等不便。
分流隧道(Split Tunneling)就是解决这个问题的技术。它筛选哪些流量走 VPN、哪些不走 VPN,从而兼顾安全性和便利性。不过,如果配置不当,也可能陷入"以为在保护实际却没有保护"的状态。
分流隧道的工作原理
在普通的 VPN 连接(全隧道)中,设备的所有流量首先发送到 VPN 服务器,再从那里访问互联网。分流隧道通过操作路由表,只将特定流量导入 VPN 隧道,其余流量使用普通的互联网连接。
从技术上讲,VPN 客户端在设备的路由表中设置两条路径:需要走 VPN 的目标(例如公司内网的 IP 范围 10.0.0.0/8)路由到 VPN 接口,其余流量路由到默认网关(普通路由器)。
两种模式
- 包含分流(Include Split):只将指定的流量通过 VPN,其余使用普通连接。也称为"白名单模式"
- 排除分流(Exclude Split):只将指定的流量排除在 VPN 之外,其余通过 VPN。也称为"黑名单模式"
如果重视安全性,推荐使用排除分流(默认走 VPN,仅排除例外)。如果重视便利性,包含分流(仅必要的走 VPN)更为合适。
全隧道与分流隧道的对比
| 项目 | 全隧道 | 分流隧道 |
|---|---|---|
| 流量路径 | 所有流量经过 VPN | 仅选定的流量经过 VPN |
| 速度 | 整体下降 | 非 VPN 流量保持高速 |
| 安全性 | 所有流量加密 | 非 VPN 流量不加密 |
| 本地访问 | 不可(需额外配置) | 可以 |
| DNS 泄露 | 风险低 | 风险高(取决于配置) |
| VPN 服务器负载 | 高 | 低(仅必要流量) |
在企业远程办公环境中,如果采用全隧道,所有员工的 YouTube 和社交媒体流量都会集中到 VPN 服务器,导致带宽紧张。通过分流隧道仅让访问内部系统的流量走 VPN,有些情况下可以将 VPN 服务器负载降低 60%~80%。
安全注意事项
分流隧道以便利性换取了一定的安全风险。请在理解以下几点后再使用。
DNS 泄露风险
走 VPN 的流量的 DNS 查询可能会泄露到 VPN 隧道外部(ISP 的 DNS 服务器)。这被称为 DNS 泄露。在分流隧道环境中,如果 VPN 客户端的 DNS 设置不当,走 VPN 的通信目标域名会被 ISP 看到。
对策是将 VPN 客户端的 DNS 固定为 VPN 提供商的 DNS 服务器,或者设置 DNS 查询始终通过 VPN 隧道。
恶意软件横向移动
在分流隧道中,设备同时连接着走 VPN 的公司内网和不走 VPN 的互联网。如果设备感染了恶意软件,从互联网侧入侵的恶意软件可能会横向移动(Lateral Movement)到公司内网。
IP 地址暴露
不走 VPN 的流量会将你在查IP上可以确认的真实 IP 地址直接发送给连接目标。如果你使用 VPN 的目的是保护隐私,需要认识到分流隧道排除的流量会暴露你的真实 IP 地址。
使用场景的判断标准
是否应该使用分流隧道,取决于使用目的。
- 适合全隧道的场景:在公共 Wi-Fi 下使用、隐私保护为最高优先级、企业安全策略强制要求
- 适合分流隧道的场景:远程办公中同时使用内部系统和普通网页浏览、需要确保视频流媒体速度、需要访问局域网设备(打印机、NAS)
VPN 协议的选择也会影响速度。使用 WireGuard 等高速协议,即使全隧道也能将速度下降控制在最低限度,在某些情况下可以减少对分流隧道的需求。
也请考虑与 VPN 终止开关配合使用。在分流隧道环境中启用终止开关,当 VPN 连接断开时,只有设置为走 VPN 的流量会被阻断,不走 VPN 的流量不受影响。
总结 - 分流隧道是需要"理解后使用"的技术
分流隧道是解决 VPN 速度下降和便利性问题的实用技术。但它同时也是主动打开安全缺口的行为。判断哪些流量走 VPN、哪些排除,需要对通信的机密性和风险有充分的理解。
如果拿不定主意,建议先以全隧道运行,当出现速度或本地访问问题时,再通过排除分流进行最小限度的排除,这种方式更为安全。
想要深入了解 VPN 技术的读者,网络技术专业书籍可供参考。