网络工程 - 所有 IP 流量都通过 SSL VPN 吗？ - 吾爱随笔录

所有 IP 流量都通过 SSL VPN 吗？

网络工程虚拟专用网 sslvpn

2021-07-19 06:06:23

我正在使用 SSL VPN（F5 的“big-ip 边缘客户端”）来访问客户端的网络。

我注意到与其网络相关的地址是通过 VPN 路由的：

foobar@mac:~$ traceroute subdomain.client.xxx
traceroute to subdomain.client.xxx (10.254.193.78), 64 hops max, 52 byte packets
 1  10.248.5.15 (10.248.5.15)  78.741 ms  78.458 ms  78.295 ms
 2  10.248.5.11 (10.248.5.11)  85.875 ms  78.786 ms  78.515 ms
 3  10.248.4.5 (10.248.4.5)  78.976 ms  79.368 ms  81.728 ms

虽然不在其网络上的地址不会通过 VPN 路由：

foobar@mac:~$ traceroute google.com
traceroute to google.com (172.217.17.46), 64 hops max, 52 byte packets
 1  192.168.1.1 (192.168.1.1)  0.613 ms  0.326 ms  0.281 ms
 2  x.qwest.net (207.109.x.x)  194.434 ms  178.721 ms  60.471 ms
 3  x.inet.qwest.net (207.109.y.y)  40.290 ms  20.537 ms  20.901 ms
 4  cer-edge-17.inet.qwest.net (67.14.8.90)  30.016 ms  29.993 ms  31.269 ms
 5  216.111.90.126 (216.111.90.126)  103.049 ms  104.267 ms  101.551 ms
 6  209.85.244.1 (209.85.244.1)  30.493 ms
    209.85.143.148 (209.85.143.148)  30.415 ms
    209.85.143.188 (209.85.143.188)  30.039 ms
 7  72.14.237.130 (72.14.237.130)  30.311 ms
    209.85.241.47 (209.85.241.47)  30.380 ms  30.432 ms

相比之下，我在另一个客户端使用了瞻博网络的 VPN。在那里，所有流量都通过 VPN 路由。

这是（拆分路由？）SSL VPN 的属性，还是客户端配置它的方式？

4个回答

这是大多数 VPN 平台都具有的功能。这被称为“拆分隧道”。这取决于 VPN 管理员。有些决定通过 VPN 隧道发送所有流量，而有些则没有。

回答您的问题：这取决于 SSL VPN 配置文件的配置方式。

我不能专门与 F5 的客户端或瞻博网络交谈，但通常您可以通过 VPN 发送所有流量或部分流量。

SSL 客户端软件可能会告诉您哪些“网络”或“子网”正在进入隧道。思科的 AnyConnect 安全移动客户端将专门列出它包含在隧道中的网络。“非安全路由”是不包含在隧道中的路由，而“安全路由”是包含在隧道中的网络。

我建议查看Split-Tunnel或Full TunnelVPN 以获取更多详细信息。

VPN 只是设置了一个逻辑网络接口，流量可以或不可以通过它转发，就像网络设计者认为合适的那样，就像它可以通过任何其他路由器接口一样。

不要混淆 VPN 客户端软件，这在这里真的是题外话。某些主机软件会阻止拆分隧道作为一种安全措施。

它称为拆分隧道，是可配置的，应该启用。通过集中位置路由 Internet 绑定流量没有 [良好] 意义。

事实上，我开始相信基于网络设备的 VPN（和防火墙）毫无意义。……你们都是在这里听到的！

其它你可能感兴趣的问题

上一篇没有区域 0 的 OSPF 下一篇Cisco IOS CLI -- 全局配置和控制台线路配置模式之间的区别（使用 line console 0 命令）？