27/07/2022 11:58 VPN Split Tunneling para acesso simultâneo à Internet e uma Intranet | Márcio Hunecke – marciohunecke@hotmail.

com

VPN Split Tunneling para acesso simultâneo à Internet e uma Intranet

Publicado em agosto 31, 2012 por marciohunecke

Quando um cliente Windows faz uma conexão VPN, ele automaticamente adiciona uma nova rota padrão
para a conexão VPN e modifica a rota padrão existente que aponta para a Internet para ter uma métrica
mais alta. Adicionar a nova rota padrão significa que locais na Internet, exceto o endereço IP do servidor
VPN não estão acessíveis duração a conexão  VPN.

Exemplo:

Tabela de rotas IPv4

===========================================================================
Rotas ativas:

Endereço de rede          Máscara   Ender. gateway       Interface          Custo

0.0.0.0                   0.0.0.0      192.168.1.1            192.168.1.102   4245

===========================================================================
Rotas persistentes:

Endereço de rede         Máscara  Ender. gateway    Custo

0.0.0.0                   0.0.0.0     10.252.128.1       1

===========================================================================

Neste exemplo, o default gateway da placa de rede é 162.168.1.1. Ao conectar na VPN, é criada uma rota
permanente com default gateway 10.252.128.1 e Custo menor (1).

Para evitar que a nova rota padrão seja criada, selecione “Internet Protocol (TCP/IP)” na guia “Rede” das
propriedades da conexão VPN. Clique em “Propriedades” e, em seguida, clique em “Avançado”. Em
configurações avançadas de TCP/IP, na guia “Geral”, desmarque a opção “Utilizar gateway padrão em rede
remota”, conforme figura abaixo.

Quando a opção “Utilizar gateway padrão em rede remota” está desmarcada, uma rota padrão não é criada;
no entanto, uma rota que corresponde à identificação de rede baseada na classe de endereço de IP é criada.
Por exemplo, se o endereço atribuído durante o processo de conexão é 10.0.12.119, o cliente de VPN cria
uma rota para a identificação de rede baseada na classe 10.0.0.0 com máscara de sub-rede 255.0.0.0.

Dependendo da configuração “Utilizar gateway padrão na configuração de rede remota”, o seguinte ocorre
quando a conexão VPN estiver ativa:

https://marciohunecke.wordpress.com/2012/08/31/vpn-split-tunneling-para-acesso-simultneo-internet-e-uma-intranet/#:~:text=Para clientes VPN t… 1/4

27/07/2022 11:58 VPN Split Tunneling para acesso simultâneo à Internet e uma Intranet | Márcio Hunecke – marciohunecke@hotmail.com

* Quando a opção estiver desmarcada, locais de Internet são alcançáveis e locais na intranet
não são alcançáveis, exceto aqueles correspondentes a ID de rede de classe de endereço de
Internet o endereço de IP atribuído.

* Quando a opção estiver selecionada (a configuração padrão), todos os locais na intranet

são alcançáveis e locais da Internet não estão acessíveis, exceto para o endereço do servidor
VPN e locais disponíveis através de outras vias.

Para a maioria dos clientes VPN conectados à Internet, esse comportamento não representa um problema
porque eles são normalmente utilizam a intranet ou Internet, mas não ambos.

Anúncios

DENUNCIAR ESTE ANÚNCIO

Para clientes VPN ter acesso simultâneo aos recursos de Internet e intranet, quando a conexão VPN estiver
ativa, você pode fazer o seguinte:

* Selecione a opção “Utilizar gateway padrão em rede remota” verificar caixa e permitir
acesso à Internet através da intranet da organização.

Todo tráfego de rede entre o cliente VPN e a Internet passa através dos firewalls da
organização ou servidores proxy, como se o cliente VPN está fisicamente conectado à
intranet da organização. Embora possa haver um impacto no desempenho de acesso a
recursos de Internet, este método permite acesso à Internet filtrado e monitorado, de acordo
com as diretivas de rede da organização, enquanto o cliente VPN está conectado à rede da
organização. Por exemplo, se os servidores de proxy de Web organização bloqueiam o acesso
a determinados tipos de sites de Web sites, esses sites também irão ser bloqueados quando
clientes VPN estiverem conectados à rede da organização.

* Se o endereçamento dentro de sua intranet baseia-se em uma ID de rede baseada em classe

única, desmarque a opção “Utilizar gateway padrão em rede remota”.

Por exemplo, se sua intranet usa 10.0.0.0/8 somente IPs privados, clientes VPN conectados, 
automaticamente irão criar uma rota 10.0.0.0/8 sobre a conexão de VPN, tornando todos os
locais na intranet da organização acessíveis.

Se o endereçamento dentro da intranet não é baseado em uma ID de rede baseada em classe única ,
desmarque a opção “Utilizar gateway padrão em rede remota” e use a opção:

Usando a opção “Classless Static Routes DHCP”

O uso desse método fornece rotas explícitas para a intranet e também é conhecido como Split Tunneling.

Clientes VPN enviam uma mensagem DHCPInform para o servidor VPN, solicitando um conjunto de opções
de DHCP. Isso é feito para que o cliente possa obter uma lista atualizada de servidores DNS e WINS e um

https://marciohunecke.wordpress.com/2012/08/31/vpn-split-tunneling-para-acesso-simultneo-internet-e-uma-intranet/#:~:text=Para clientes VPN t… 2/4

27/07/2022 11:58 VPN Split Tunneling para acesso simultâneo à Internet e uma Intranet | Márcio Hunecke – marciohunecke@hotmail.com

nome de domínio DNS que é atribuído à conexão VPN.

————————-

Até aqui foi revisado –

Referência: http://technet.microsoft.com/en-us/library/bb878117.aspx

Clientes VPN de baseados em Windows Server 2003 e Windows XP incluem a opção de Classless Static
DHCP de rotas na sua lista de opções de DHCP solicitadas. Se configurado no servidor DHCP, a opção de
DHCP de rotas estáticas sem classe contém um conjunto de rotas que representa o espaço de
endereçamento da sua intranet. Essas rotas são adicionadas automaticamente à tabela de roteamento do
cliente solicitante quando ele recebe a resposta à mensagem DHCPInform e removidas automaticamente
quando a conexão VPN é encerrada.

O serviço de servidor de DHCP do Windows Server 2003 suporta a configuração da opção de Classless rotas
estáticas (opção número 249). A figura a seguir mostra a opção snap-in do DHCP.

Anúncios

DENUNCIAR ESTE ANÚNCIO

Para usar a opção de Classless rotas estáticas para túnel dividido, configure essa opção para o escopo que
corresponde à sub-rede da intranet para que o servidor VPN está conectado. Em seguida, adicione o
conjunto de rotas que correspondem ao espaço de endereçamento resumidos da intranet da organização.
Por exemplo, se você usar o espaço de endereçamento IP privado para a intranet da organização, a opção de
rotas estáticas Classless teria as seguintes três rotas:

10.0.0.0 com máscara de sub-rede de 255.0.0.0

172.16.0.0 com máscara de sub-rede de 255.240.0.0

192.168.0.0 com a máscara de sub-rede de 255.255.0.0

O endereço de IP do roteador para cada rota adicionado a opção de rotas estáticas sem classes deve ser
definido para o endereço IP de uma interface de roteador na sub-rede da intranet para que o servidor VPN
está conectado. Por exemplo, se o servidor VPN está conectado para a intranet 10.89.211.0/24 de sub-rede e

https://marciohunecke.wordpress.com/2012/08/31/vpn-split-tunneling-para-acesso-simultneo-internet-e-uma-intranet/#:~:text=Para clientes VPN t… 3/4

27/07/2022 11:58 VPN Split Tunneling para acesso simultâneo à Internet e uma Intranet | Márcio Hunecke – marciohunecke@hotmail.com

o endereço IP do roteador da intranet desta sub-rede é 10.89.21.1, defina o endereço IP do roteador para
cada rota para 10.89.21.1.

Problemas de segurança do túnel dividido

Quando um computador de cliente VPN está conectado à Internet e uma intranet privada e tem rotas que
permitem a acessibilidade para as duas redes, existe a possibilidade de que um usuário mal-intencionado da
Internet pode usar o computador de cliente VPN conectado para chegar a intranet privada, através da
conexão VPN autenticada. Isso é possível se o computador de cliente VPN tem o roteamento de IP ativado.
Roteamento IP está ativado em computadores baseados no Windows XP, definindo a entrada de registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip \Parameters\IPEnableRouter 1 (é
de tipo de dados REG_DWORD).

Se você deve usar encapsulamento dividido, pode ajudar a impedir o tráfego indesejado da Internet, fazendo
o seguinte:

Use o recurso de controle de quarentena de acesso à rede no Windows Server 2003 para verificar se os
clientes VPN conectados tem roteamento de IP ativado e, em caso afirmativo, não permitir o acesso VPN até
que ele foi desativado. Para obter mais informações, consulte controle de quarentena de acesso à rede
(fevereiro de 2003 artigo Cable Guy).

Filtros de pacotes IP de uso sobre o perfil de diretiva de acesso remoto VPN para descartar tanto tráfego de
entrada na conexão VPN que não foi enviada do cliente VPN e o tráfego de saída que não é destinado para o
cliente VPN. A diretiva de acesso remoto padrão chamada conexões para Microsoft roteamento e o servidor
de acesso remoto no Windows Server 2003 tem esses filtros de pacote configurados por padrão.

Observação usando os métodos acima não impede que o tráfego indesejado se um usuário mal-intencionado
da Internet é controlar remotamente o computador de cliente VPN. Para evitar isso, certifique-se de que o
computador de cliente VPN tem um firewall habilitado (como o Firewall de conexão de Internet no
Windows XP) e um programa antivírus instalado e em execução com o arquivo de assinatura de vírus mais
recente instalado. Estas são também as configurações que podem ser verificadas e aplicadas ao usar o
controle de quarentena de acesso à rede.

https://marciohunecke.wordpress.com/2012/08/31/vpn-split-tunneling-para-acesso-simultneo-internet-e-uma-intranet/#:~:text=Para clientes VPN t… 4/4