Si, lo split-tunneling è utile se devi collegarti ad esempio a casa ma non hai una connessione internet buona: senza il traffico internet (quello non diretto alla tua lan) verrebbe comunque instradato nella lan via vpn per poi uscire in chiaro dal tuo router locale, impegnando cosi il doppio della banda del tuo provider internet. Questa opzione pero da il controllo a cosa il client remoto è autorizzato a navigare come se si trovasse all'interno della lan. Gode delle stesse protezioni (o non ... a seconda della bravura dell'amministratoreTrinidad ha scritto: ↑venerdì 10 aprile 2020, 18:09 dMajo,
Ho letto alcuni tuoi post sul Forum riguardo l'utilizzo di connessioni VPN con split-tunneling e senza split-tunneling.
Mi pare di aver capito che lo split-tunneling disattivato sulla mia configurazione precedentemente descritta mi permette di reindirizzare la navigazione secondo le regole e concessioni fatte nella mia rete locale, quindi un tunnel sicuro.
)Non sono espertissimo di VPN su NAS in quanto trovo poco configurabili le opzioni che per personalizzare come voglio il servizio richiedono modifiche agli script via telnet/ssh.Ora ti chiedo, se volessi utilizzare un ulteriore servizio VPN per poter vedere contenuti video non presenti in italia e mantenere l'anonimato questo sarebbe implementabile sul NAS in aggiunta alla configurazione presente?
Correggimi se sbaglio, ma in questa configurazione appena descritta, il NAS non sarebbe più il Server ma sarebbe il Client che di conseguenza si connetterebbe al Server del servizio VPN utilizzando la funzionalità dello split-tunneling
Secondo te, questa, sarebbe una configurazione ideale e fattibile oppure creerebbe dei problemi di accesso al NAS tramite la VPN precedentemente configurata?
Inoltre (non ho mai personalmente usato un servizio client VPN sul NAS) mi pare che il client reindirizzi poi tutto il traffico NAS via VPN (ovvero non split-tunnel). Diviene quindi difficile gestire quale traffico debba uscire in chiaro e quale no.
Ad esempio il mail server sicuramente è raggiungibile dall'esterno sulla wan per i client in quanto al traffico in entrata rediretto dal router al nas quest'ultimo risponderà usando la stessa interfaccia e quindi usando la wan del router in chiaro. Ma quando il mail server deve poi consegnare le mail agli altri mail-server (destinatari) il traffico generato dal NAS (in uscita) uscirà dalla VPN di fatto potenzialmente con IP diversi per i quali non si potrà impostare correttamente i record PTR, MX, A e che quindi gli altri mail-server tenderanno a bannare come spammer.
Io uso diverse VPN di 'anonimizzazione', tutte configurate sul router usando le varie connettività in quanto tranne la chiavetta LTE le altre hanno tutte IP statico. Quindi per la navigazione 'normale' (e non) il traffico viene selettivamente inoltrato, secondo precise regolo (indipendentemente dal nodo che lo produce), in chiaro (usando le varie WAW) oppure tramite le diverse VPN che puntano a server diversi (inteso geograficamente/paesi) a seconda del fine che tale traffico persegue.
Inoltre in tale configurazione utilizzo anche server DNS interni, che il DHCP assegna sia ai client locali che quelli remoti. E' poi il server DNS privato, che con le viste, gestisce quali client utilizzino quali server DNS esterni come server d'inoltro per i domini non ospitati sul sserver DNS locale. Poi il router, in base all'indirizzo del DNS esterno decide se far passare tali richieste in chiaro piuttosto che via VPN. La VPN di anonimato non serve a nulla se poi le richieste DNS le risolvi in chiaro. E' altressì inverosimile, dal punto di vista esterno (di un ISP ad esempio) che la connettività non generi traffico verso porte 53, quelle dei server DNS. Si ottiene il giusto occultamento se si ha un 'traffico' sensato.
Ci sono diversi fornitori VPN che permettono la configurazione delle stesse (client) sul router e che permettono l'accesso contemporaneo di diversi dispositivi. Il mio supporta 5 VPN contemporanee di cui 3 sono configurate sul router e due le uso sui dispositivi mobili quando viaggio, se serve.
Il router è come la porta blindata di casa, rappresenta la porta digitale e non ci si dovrebbe risparmiare. Eventualmente, siccome la tecnologia Wi-Fi si evolve più rapidamente di quella cablata si investa su un buon router, privo di WiFi ma con ottimo firewall ben dotato dal punto di vista firmware, che potrà esser tecnologicamente valido per diversi anni (minimo 5, gestisco ancora oggi adsl con configurazioni spinte su router di 15 anni).
Poi si prenda un access-point da €20 e lo si cambi eventualmente ogni anno man mano che la tecnologia cambia.
