Blog

Cómo dividir el tráfico VPN del túnel en Windows, MacOS, DD-WRT y Tomato

tráfico VPN de túnel dividido



El túnel dividido permite a los usuarios de VPN enrutar el tráfico desde aplicaciones o dispositivos específicos a través de la VPN mientras que el tráfico de otras aplicaciones y dispositivos viaja a través de la red predeterminada que no es VPN. Los túneles divididos se pueden utilizar para varios propósitos diferentes, entre ellos:

  • Permitir el uso normal de Internet y al mismo tiempo acceder a recursos que solo están disponibles para los usuarios de VPN, como un servidor empresarial.
  • Configurar dispositivos específicos, como consolas de juegos o cajas de transmisión de medios, para usar (o no usar) la VPN sin afectar a otros dispositivos en la red.
  • Enviar todo el tráfico de un dispositivo a través de la VPN, excepto cuando se accede a contenido o servicios que no permiten conexiones VPN, como MLB.tv o Netflix.
  • Enviar todo el tráfico a través de la VPN, excepto el contenido y los servicios que requieren baja latencia, como aplicaciones VoIP y juegos en línea.
  • Solo enruta el tráfico de torrents a través de la VPN, mientras que el resto del tráfico de Internet va a la red predeterminada
  • Acceda a la VPN sin afectar su conexión a otros dispositivos en la red local, como impresoras o un Plex Media Server

Su imaginación es el límite para la cantidad de aplicaciones para túneles divididos. Bueno, eso y tu hardware. Los diferentes tipos de túneles divididos tienen diferentes requisitos técnicos. Lo que puede lograr depende en gran medida de su dispositivo, enrutador wifi y servicio VPN.



Antes de comenzar, es importante darse cuenta de que el túnel dividido requiere algunos conocimientos técnicos avanzados y una implementación desordenada puede generar riesgos de seguridad. Si no configura correctamente sus ajustes de túnel dividido, su ISP o un tercero podrían acceder a algunos de sus datos confidenciales.

Tipos de túneles divididos

Para los usuarios típicos de VPN, existen cuatro tipos principales de túnel dividido.



El primer tipo es el más simple y es útil si necesita acceder a recursos remotos a través de una VPN y al mismo tiempo mantener una conexión normal a Internet que no sea VPN. Explicaremos cómo hacer esto en los tutoriales a continuación.

El segundo es por dispositivo. Por ejemplo, si desea que su consola de juegos se conecte a Internet sin una VPN, pero que su PC y su teléfono inteligente se conecten con una VPN. Este tipo de túnel dividido normalmente se realiza en su enrutador wifi. en lo popular Enrutador DD-WRT firmware, esto se denomina 'enrutamiento basado en políticas'.

El tercer tipo de túnel dividido es por aplicación. Puede configurar una lista negra o una lista blanca de aplicaciones y servicios que desea conectar a la VPN o que no desea conectar a la VPN, respectivamente. A este último a veces se le llama túnel dividido “inverso”. Por ejemplo, si solo desea que el tráfico de torrents pase a través de la VPN, pero que todas sus demás aplicaciones, como juegos y navegadores web, se conecten a Internet sin una VPN, este es el método que desea utilizar. El túnel dividido por aplicación solo funciona en algunas VPN, sistemas operativos y firmware de enrutador. Es importante asegurarse de haber elegido VPN ofrece túneles divididos .

El último tipo de túnel dividido le permite enrutar el tráfico según su destino en lugar de su origen. Por ejemplo, si desea enrutar todo el tráfico a través de la VPN excepto el que viaja a netflix o Hulu. Esto se llama enrutamiento basado en IP y es el tipo de túnel dividido más difícil de lograr. Requiere un enrutador o firewall con estado e, incluso si lo tiene, sitios como Netflix tienen tantas direcciones IP que es difícil lograr que funcione de manera confiable. Como tal, no cubriremos el enrutamiento IP en este artículo.

No todos los sistemas operativos admiten todos los tipos de túneles divididos. De hecho, los usuarios de Windows encontrarán que sus opciones son muy limitadas. Las Mac no son malas, pero los enrutadores con firmware DD-WRT o Tomato ofrecen la mayor versatilidad. Lamentablemente, también son los más complicados de configurar.

Cómo dividir el túnel en MacOS

Primero, consulte con su proveedor de VPN para ver si su aplicación incluye la funcionalidad de túnel dividido incorporada. Si bien no es demasiado común, algunos proveedores como ExpressVPN ofrecen túnel dividido basado en aplicaciones. Con elConexión por aplicaciónfunción en la aplicación Mac de ExpressVPN, puede crear una lista negra o una lista blanca de aplicaciones para enrutar a través de la VPN. conexión por configuración de aplicación

Si su aplicación VPN no tiene soporte integrado para túnel dividido, tendremos que ensuciarnos las manos y hacer las cosas de forma manual.

Necesitará privilegios administrativos de superusuario y una conexión L2TP o PPTP existente, así como la subred de destino para el espacio privado VPN.

  1. Ir aPreferencias del Sistema > Red
  2. En la barra lateral izquierda, haga clic en su conexión VPN y vaya aConfiguración avanzada > Opciones
  3. Desmarque la casilla paraEnviar todo el tráfico a través de una conexión VPN túnel dividido mac 3
  4. Guarde sus cambios y conéctese a la VPN
  5. Una vez conectado, vaya aAplicación > Utilidades > Terminal
  6. Tipoifconfigen la terminal y presione Enter. Tome nota de la interfaz utilizada por la VPN. Usando L2TP, esto probablemente seráppp0 túnel dividido mac 2
  7. Inicie sesión como root. Una manera fácil de hacer esto es escribirsudo suen el terminal y autentíquese con su contraseña de Mac. túnel dividido mac 1_2
  8. Ingrese el siguiente comando, reemplazando > SUBRED DE DESTINO< with the subnet you want routed through the VPN, and >INTERFAZ VPN< with the interface listed in the previous step.route add -net >SUBRED DE DESTINO< -interface >INTERFAZ VPN<

Ver también:Nuestra lista de recomendados VPN para Mac proveedores.

Cómo dividir el túnel en Windows

Windows es bastante limitado cuando se trata de túneles divididos. No hay forma que sepamos de dividir el túnel por aplicación o destino. En cambio, la opción de túnel dividido en Windows es mucho más amplia. Puedes elegir no hacer un túnel IPv4 e IPv6 tráfico para que sólo el tráfico local pase a través de la VPN. Esto es útil si solo necesita usar la VPN para acceder a recursos remotos que no están disponibles desde su conexión a Internet normal, pero no mucho más.

Además, Windows sólo divide los protocolos VPN de túnel para los que tiene soporte integrado. Eso significa que primero deberá configurar una conexión L2TP, SSTP o PPTP. OpenVPN no funcionará aquí.

Este ejemplo utilizará su conexión local para acceder a Internet, mientras que la VPN se utilizará para acceder a recursos remotos, como un servidor empresarial privado al que solo se puede acceder a través de VPN. La VPN sólo se utilizará cuando un host no esté disponible en la red local.

En este tutorial, usaremos Windows 10. Asumiremos que ya configuró su conexión VPN y que solo necesita habilitar el túnel dividido. Necesitará privilegios de administrador y la subred de destino para su espacio privado VPN.

  1. En la barra de búsqueda de Windows, escribaPotencia Shelly haga clic derecho paraEjecutar como administrador ventanas de túnel divididas 1
  2. TipoObtener-conexión VPNy presione Entrar para que aparezca una lista de todas sus conexiones VPN disponibles. (Pruebo muchas VPN, por lo que hay varias en mi captura de pantalla, pero probablemente solo tengas una). Toma nota de laNombrede la VPN que desea dividir el túnel. ventanas de túnel divididas 2
  3. Escriba el siguiente comando y presione Enter, reemplazando >NOMBRE VPN< with the name you noted in the previous step:Set-VPNConnection -Name “>NOMBRE DE VPN<” -SplitTunneling $True

Puede verificar que el túnel dividido esté habilitado ingresando elObtener-conexión VPNcomando de nuevo. El campo de túnel dividido ahora debería estar configurado en Verdadero. ventanas de túnel divididas 3

A continuación, ingrese este comando y tome nota delDescripcióncampo:

|_+_|

Si es necesario, agregue la ruta. Reemplazar > SUBRED DE DESTINO< with the subnet you want to route through the VPN, and >INTERFAZ< with the name of the Description field we mentioned in the last step:

|_+_|

Si desea desactivar el túnel dividido, ingrese este comando:

|_+_|

Túnel dividido con tu propio servidor OpenVPN en Windows

Si ha creado su propio servidor OpenVPN similar al de nuestro tutorial que utiliza Amazon EC2, puede habilitar el túnel dividido en Windows editando sus archivos de configuración.

Eliminarpuerta de enlace de redireccionamiento def1en el archivo de configuración de su servidor OpenVPN (probablemente llamado server.conf). En la configuración del cliente (client.ovpn o client.conf), agregue la siguiente línea:

|_+_|

Esto enruta la subred 12.12.12.0 a través de la conexión VPN y todo lo demás fuera de la conexión que no es VPN.

Ver también:El mejor VPN para Windows 10 usuarios.

Cómo dividir el túnel en enrutadores DD-WRT

Configurar OpenVPN y un túnel dividido en enrutadores DD-WRT es una tarea tediosa y complicada, por lo que si desea seguir la ruta del enrutador, le recomendamos comprar una suscripción aExpressVPN. Con eso, puede instalar el firmware del enrutador personalizado de ExpressVPN o comprar un enrutador con el firmware preinstalado. Es mucho más fácil que configurar todo manualmente.

enrutador expressvpn

MEJOR VPN para dividir túneles en enrutadores DD-WRT: ExpressVPN es nuestra elección. Esta VPN lidera el camino con sus aplicaciones y software de enrutador sencillos y fáciles de usar. Tiene una amplia red de servidores optimizada para conexiones de alta velocidad. Difícil de superar en privacidad y seguridad. Funciona con todos los principales servicios de transmisión. Hay una garantía de devolución de dinero de 30 días sin objeciones para que puedas probarlo sin riesgos.

Si desea ahorrar unos cuantos dólares y hacer las cosas de la manera más difícil, asumiremos que ya configuró su conexión VPN en DD-WRT y que funciona correctamente. DD-WRT le permite dividir el tráfico VPN del túnel de diferentes maneras:

  • por dispositivo, llamado “enrutamiento basado en políticas”
  • por dirección IP de destino, llamado “enrutamiento IP”
  • por aplicación o puerto

Enrutamiento basado en políticas

En el panel de DD-WRT, vaya aServicio > VPN. Busque el cuadro de enrutamiento basado en políticas e ingrese las direcciones IP para cada uno de los dispositivos que desea que pasen por la VPN. ¡Simple como eso!

Si no está seguro de las direcciones IP de sus dispositivos, puede encontrarlas yendo aEstado del enrutadorpágina del panel de control de DD-WRT. Bajo laRedsección, encontrarConexiones IP activas. Haga clic en el número al lado para iniciar elTabla de conexiones IP activas. Aquí puede ver las direcciones IP de todas las conexiones entrantes y salientes en el enrutador, así como los protocolos y números de puerto.

Enrutamiento basado en puertos

Si desea especificar qué programas o aplicaciones usan la VPN, una forma de hacerlo es mediante un túnel dividido por puerto. Es probable que cada aplicación use un puerto diferente, por ejemplo, los navegadores web usan los puertos TCP 80 y 443, Spotify usa el puerto TCP 4070 y Steam usa los puertos UDP del 27000 al 27030. Entonces, al especificar a través de qué puertos específicos enrutar el tráfico VPN, podemos dividir el túnel. por aplicación.

Desafortunadamente, esto es más difícil de lo que parece en DD-WRT. Deberá familiarizarse con IPTables, que rige las reglas del firewall de Linux en el firmware. Podrías encontrar este tutorial útil como ejemplo.

Ir aAdministración > Comandos. BajoCortafuegoshacer clicEditare ingrese los comandos necesarios. Luego vaya a la configuración de su cliente OpenVPN en DD-WRT y busque elConfiguración adicionalpara modificar su configuración de OpenVPN.

Enrutamiento IP de destino

Si desea canalizar el tráfico por su destino, es decir, por un sitio web o algún otro tipo de servidor, entonces el enrutamiento IP podría ser la solución.

Vaya a la configuración de su cliente OpenVPN en DD-WRT y busque elConfiguración adicionalcaja. Introduzca la siguiente:

|_+_|

Reemplace las X con la misma dirección que ingresó enServidor IPcampo de su configuración OpenVPN. Reemplace las Y con la dirección IP del servidor al que desea enrutar el tráfico VPN y las Z con la subred adecuada (esta última suele ser 255.255.255.0).

Tenga en cuenta que si desea enrutar todo el tráfico VPN que va a un sitio web específico, deberá agregar las direcciones IP y las subredes de todos los servidores que utiliza ese sitio web. Netflix, por ejemplo, utiliza varias docenas de IP y pueden cambiar en cualquier momento, por lo que necesitarás encontrar una lista actualizada de IP de Netflix y actualizar esta configuración periódicamente.

Cómo dividir el túnel en enrutadores Tomato

Tomato no tiene enrutamiento basado en políticas integrado como DD-WRT, por lo que está prácticamente obligado a usar IPTables para realizar el trabajo. En el panel de Tomato, con su conexión OpenVPN ya configurada y funcionando, este es un ejemplo de cómo habilitar el enrutamiento selectivo.

Ir aAdministración > Scripts > Firewally agregue estos comandos:

|_+_|

Haga clic en la pestaña “WAN Up” y agregue estos comandos, reemplazando >DIRECCIÓN IP DE FUENTE< with the local IP of the device you want to route through the VPN:

|_+_|

En la barra lateral izquierda, vaya aTúnel VPN > Cliente OpenVPN. En la configuración de su cliente OpenVPN, vaya aAvanzado. BajoConfiguración personalizada, agregue este comando:

|_+_|
^