VPN Stars Blog

Рубрика: Информация

  • IKEv2/IPsec VPN: что это, сравнение с WireGuard и OpenVPN, настройка

    IKEv2/IPsec VPN: что это, сравнение с WireGuard и OpenVPN, настройка

    ikev2 ipsec vpn — IKEv2/IPsec VPN — это один из самых стабильных и безопасных протоколов для создания защищённых корпоративных соединений. Он особенно популярен среди мобильных сотрудников, которым требуется надёжное подключение к офисной сети из любой точки мира.

    В отличие от более современных решений, таких как WireGuard, IKEv2/IPsec предлагает более сложную настройку, но при этом обеспечивает высокий уровень совместимости с корпоративным оборудованием и встроенными средствами Windows, macOS и iOS. Это делает его идеальным выбором для организаций, где важна централизованная аутентификация и поддержка устаревших систем.

    Однако на современных устройствах IKEv2 может уступать WireGuard в скорости и простоте развёртывания. В этой статье мы подробно разберём, как работает IKEv2/IPsec, сравним его с OpenVPN и WireGuard, а также дадим практические рекомендации по настройке для корпоративного использования.

    Что такое IKEv2/IPsec и где его используют

    IKEv2/IPsec — это связка протокола обмена ключами IKEv2 и набора шифрования IPsec. IKEv2 отвечает за установку защищённого канала и согласование параметров шифрования, а IPsec непосредственно шифрует и аутентифицирует каждый пакет данных.

    В отличие от более старых версий, IKEv2 поддерживает MOBIKE — механизм, позволяющий сохранять VPN-соединение при смене сети (например, при переходе с Wi‑Fi на мобильный интернет).

    Чаще всего IKEv2/IPsec используют в корпоративных сценариях: для удалённого доступа сотрудников к внутренним ресурсам, для соединения филиалов (site‑to‑site) и для мобильных устройств на iOS и Windows, где протокол встроен нативно. Он также популярен на роутерах Keenetic, MikroTik и в NGFW (UserGate, Ideco, pfSense).

    Основные области применения:

    • Удалённая работа — стабильное подключение для сотрудников, которые часто переключаются между сетями.
    • Site‑to‑site VPN — объединение офисов через интернет с шифрованием трафика.
    • Мобильные устройства — встроенная поддержка в iOS и Windows без установки сторонних клиентов.

    Чем IKEv2 отличается от WireGuard, OpenVPN и SSTP

    Чем IKEv2 отличается от WireGuard, OpenVPN и SSTP

    Выбор протокола VPN напрямую влияет на скорость, безопасность и совместимость. IKEv2/IPsec часто сравнивают с WireGuard, OpenVPN и SSTP — у каждого свои сильные стороны.

    IKEv2/IPsec — это промышленный стандарт, который поддерживается на большинстве корпоративных устройств и ОС. Он устойчив к смене сети (например, при переходе с Wi-Fi на мобильный интернет), что критично для мобильных сотрудников.

    Однако его настройка сложнее, чем у WireGuard, и требует сертификатов.

    • IKEv2/IPsec — стабилен, безопасен, но требует сертификатов и портов UDP 500/4500. Лучше всего подходит для корпоративных сценариев с мобильными клиентами.
    • WireGuard — проще, быстрее, использует современную криптографию. Работает на UDP, легко настраивается, но пока не так широко поддерживается в enterprise-среде.
    • OpenVPN — гибкий, работает на TCP/UDP, поддерживает множество алгоритмов. Медленнее из-за накладных расходов, но совместим с любыми файрволами.
    • SSTP — использует HTTPS (порт 443), что позволяет обходить строгие файрволы. Однако он проприетарный (Microsoft) и менее производительный.

    На практике IKEv2/IPsec выбирают, когда нужна надёжная связь для удалённых сотрудников, работающих с мобильных устройств. WireGuard предпочтительнее для быстрых и простых подключений, а OpenVPN — для максимальной совместимости.

    Какие плюсы и минусы важны для мобильных сотрудников и офисов

    Для мобильных сотрудников IKEv2/IPsec — один из самых надёжных протоколов. Он автоматически восстанавливает соединение при смене сети (например, с Wi-Fi на мобильный интернет), что критично для тех, кто постоянно в движении.

    Встроенная поддержка в Windows, macOS, iOS и Android без установки дополнительного ПО упрощает развёртывание.

    Однако для офисных сценариев, где важна максимальная скорость и низкая задержка, IKEv2 может уступать WireGuard. WireGuard проще в настройке и работает быстрее на современном оборудовании, но не поддерживает роуминг между сетями так же плавно, как IKEv2.

    OpenVPN, в свою очередь, более гибок в настройках, но медленнее и сложнее в обслуживании.

    Ключевые различия между протоколами

    • IKEv2/IPsec — лучший выбор для мобильности: автоматическое переподключение, встроенная поддержка в ОС, высокая безопасность (AES-256). Минусы: сложнее в настройке сервера, может блокироваться корпоративными файрволами.
    • WireGuard — максимальная скорость и простота: минимальная кодовая база, быстрая установка соединения. Минусы: нет встроенной поддержки в Windows и macOS (требуется сторонний клиент), слабая поддержка роуминга.
    • OpenVPN — универсальность: работает на любых портах, легко обходит блокировки, поддерживает сложные конфигурации. Минусы: медленнее из-за накладных расходов, требует установки клиента.
    • SSTP — интеграция с Windows: использует порт 443, что упрощает прохождение через прокси. Минусы: проприетарный, менее распространён.

    Для офиса, где сотрудники работают стационарно, WireGuard часто оказывается оптимальным по скорости и простоте. Но если в компании много удалённых работников, которые часто переключаются между сетями, IKEv2/IPsec обеспечит стабильность без потери безопасности.

    Какие ошибки настройки встречаются чаще всего

    Типичные ошибки при настройке IKEv2/IPsec

    Даже опытные администраторы допускают промахи при конфигурации IKEv2/IPsec. Чаще всего проблемы связаны с сертификатами и сетевыми параметрами.

    Вот что стоит проверить в первую очередь:

    • Сертификат не подписан доверенным центром — клиент отвергает соединение. Используйте Let’s Encrypt или корпоративный CA.
    • Порт 500 или 4500 закрыт — IKEv2 работает через UDP. Убедитесь, что файрвол не блокирует эти порты.
    • Нет публичного IP или домена — сервер должен быть доступен из интернета. KeenDNS в режиме Direct Access решает проблему.
    • Несовпадение идентификаторов — в настройках клиента и сервера должны совпадать ID (обычно домен или IP).
    • Проблемы с NAT — если клиент за NAT, включите поддержку NAT-T на сервере.

    Эти ошибки легко исправить, если следовать документации. Например, в Keenetic или pfSense есть готовые мастера, которые автоматически генерируют корректные настройки.

    В каких сценариях IKEv2/IPsec оправдан сегодня

    IKEv2/IPsec остаётся востребованным в корпоративных сценариях, где стабильность и безопасность важнее скорости развёртывания. Например, при подключении удалённых сотрудников к офисной сети через Windows или iOS — в этих ОС встроенная поддержка IKEv2 работает без дополнительного ПО.

    Когда выбирают IKEv2/IPsec

    • Массовое подключение мобильных устройств — протокол автоматически восстанавливает сессию при смене сети (с Wi‑Fi на 4G), что критично для курьеров или выездных специалистов.
    • Строгие требования к шифрованию — AES-256 и сертификатная аутентификация соответствуют стандартам безопасности банков и госорганов.
    • Совместимость с legacy-оборудованием — многие старые маршрутизаторы и межсетевые экраны поддерживают IKEv2, в отличие от WireGuard.

    Однако для небольших команд или стартапов, где нужна быстрая настройка и минимальная нагрузка на CPU, IKEv2 проигрывает WireGuard. Если в приоритете — простота конфигурации и скорость на современных устройствах, стоит присмотреться к более лёгким протоколам.

    Корпоративный контекст

    Для бизнеса и инфраструктуры выбор VPN-протокола напрямую влияет на безопасность, стабильность соединений и удобство администрирования. IKEv2/IPsec особенно ценен для компаний с мобильными сотрудниками: он автоматически восстанавливает сессию при смене сети (например, с Wi‑Fi на мобильный интернет) и поддерживается встроенными средствами Windows, macOS и iOS. Это снижает нагрузку на IT-поддержку и повышает продуктивность удалённой работы. Подробнее о том, как подобрать решение для организации, читайте в статье «Корпоративный VPN для бизнеса».

    С точки зрения инфраструктуры IKEv2/IPsec обеспечивает совместимость с большинством современных межсетевых экранов и маршрутизаторов, что упрощает интеграцию в существующую сеть. Протокол использует стандартные порты (UDP 500 и 4500), не требует дополнительного ПО на стороне клиента и поддерживает строгую аутентификацию через сертификаты.

    Это делает его надёжным выбором для организаций, где важны соответствие регламентам безопасности и централизованное управление доступом.

    Часто задаваемые вопросы

    Что такое IKEv2/IPsec?

    IKEv2/IPsec — это VPN-протокол, объединяющий протокол обмена ключами IKEv2 и набор шифрования IPsec. Он обеспечивает безопасное соединение между клиентом и сервером, используя сертификаты или предварительные ключи.

    IKEv2/IPsec известен своей стабильностью при смене сетей (например, с Wi-Fi на мобильный интернет) и высокой степенью защиты, что делает его популярным для корпоративных VPN и мобильных сотрудников.

    Чем IKEv2 отличается от WireGuard?

    WireGuard проще и быстрее: он использует современную криптографию, меньше кода и работает быстрее на современных устройствах. IKEv2/IPsec сложнее в настройке, но предлагает более гибкие возможности аутентификации (сертификаты, EAP) и лучше интегрируется с корпоративными системами.

    WireGuard не поддерживает динамические IP и роуминг так же хорошо, как IKEv2.

    Какие порты использует IKEv2?

    IKEv2 использует UDP порт 500 для обмена ключами и UDP порт 4500 для инкапсуляции IPsec-трафика (NAT-T). Также может использоваться протокол ESP (IP протокол 50) для передачи зашифрованных данных. Для корректной работы необходимо открыть эти порты в брандмауэре.

    Какие ошибки чаще всего встречаются при настройке IKEv2?

    Наиболее частые ошибки: несовпадение параметров шифрования (например, разные алгоритмы на клиенте и сервере), проблемы с сертификатами (недоверенный ЦС, истекший сертификат), блокировка портов (UDP 500/4500) и неправильные настройки NAT-T. Также часто забывают указать правильный идентификатор (ID) для клиента.

    Когда IKEv2/IPsec лучше OpenVPN?

    IKEv2/IPsec лучше OpenVPN в сценариях, где важна стабильность при смене сетей (например, мобильные сотрудники, переключающиеся между Wi-Fi и LTE). Он быстрее восстанавливает соединение и имеет встроенную поддержку в Windows, iOS и macOS.

    OpenVPN более гибок в настройках и работает на любых портах, что помогает обходить блокировки, но уступает IKEv2 в скорости переподключения.

    Вывод

    IKEv2/IPsec остаётся надёжным выбором для корпоративных VPN, особенно когда требуется стабильность при частой смене сетей — например, для мобильных сотрудников. Его встроенная поддержка в Windows, macOS и iOS упрощает развёртывание без установки дополнительного ПО.

    Однако на современных устройствах WireGuard предлагает более высокую скорость и простоту, а OpenVPN — максимальную гибкость конфигурации.

    Выбор протокола зависит от приоритетов: если важна бесшовная работа при переключении между Wi-Fi и мобильным интернетом, IKEv2/IPsec — оптимальное решение. Для типовых офисных сценариев или проектов с ограниченными ресурсами стоит присмотреться к WireGuard.

    В любом случае, грамотная настройка и регулярное обновление сертификатов остаются ключевыми факторами безопасности.

    Другие материалы по теме

    Для следующего шага собрали ещё несколько полезных материалов и точек входа по этой теме.

  • Split tunneling в VPN: 6 сценариев, когда включать без утечек

    Split tunneling в VPN: 6 сценариев, когда включать без утечек

    Split tunneling в VPN — это функция, которая позволяет направлять часть интернет-трафика через зашифрованный VPN-туннель, а остальной трафик пускать напрямую в интернет. Это удобно, когда нужно одновременно работать с корпоративными ресурсами и пользоваться локальными сервисами без замедления.

    В отличие от полного туннелирования, где весь трафик идёт через VPN, split tunneling даёт гибкость: вы сами решаете, какие приложения или сайты защищать. Например, можно направить через VPN только почту и CRM, а для просмотра видео или загрузки файлов использовать прямое соединение.

    Такая настройка особенно востребована в компаниях с удалёнными сотрудниками, так как снижает нагрузку на VPN-сервер и ускоряет работу с облачными сервисами. Однако важно понимать, что неправильная конфигурация может привести к утечкам данных, поэтому split tunneling требует продуманной политики безопасности.

    Что в статье

    1. Split tunneling в VPN: что это простыми словами
    2. Как работает разделение трафика
    3. Когда split tunneling полезен
    4. Какие риски безопасности появляются
    5. Как внедрить split tunneling без утечек

    Коротко: split tunneling помогает не гонять весь трафик через VPN, но требует очень аккуратной настройки маршрутов и правил доступа.

    • Полезен, когда нужно ускорить доступ к обычному интернету и снизить нагрузку на VPN-шлюз.
    • Опасен, если через прямой канал случайно уходят корпоративные приложения, DNS-запросы или чувствительные данные.
    • Для бизнеса рабочий сценарий начинается не с галочки в клиенте, а с карты приложений, ролей и правил, что именно должно идти в туннель.

    Split tunneling в VPN: что это простыми словами

    Split tunneling — это функция VPN, которая делит ваш интернет-трафик на два потока: один идёт через зашифрованный туннель, другой — напрямую в интернет. Проще говоря, вы сами решаете, какие приложения или сайты использовать через VPN, а какие — без него.

    Как это работает на практике

    Когда вы включаете split tunneling, VPN-клиент проверяет, куда направляется каждый пакет данных. Если адрес совпадает с корпоративной сетью или заданным списком, трафик шифруется и уходит через туннель. Всё остальное отправляется напрямую к вашему интернет-провайдеру.

    Например, вы работаете удалённо: через VPN подключаетесь к серверам компании, а для просмотра новостей или видео используете обычное соединение. Это снижает нагрузку на VPN-шлюз и ускоряет доступ к локальным ресурсам.

    Основные сценарии использования

    • Доступ к корпоративным ресурсам — только трафик к внутренним серверам идёт через VPN, остальной — напрямую.
    • Экономия трафика и лимитов — если у вас ограниченный тариф, не нужно гонять весь интернет через VPN.
    • Обход блокировок для отдельных сервисов — например, включаете VPN только для сайтов, которые недоступны в вашем регионе.

    Важно помнить: split tunneling не отключает VPN полностью, а лишь делает его выборочным. Это удобно, но требует внимательной настройки, чтобы случайно не отправить конфиденциальные данные в открытый интернет.

    Как работает разделение трафика и что уходит в туннель

    Split tunneling работает по принципу «белых списков» или «чёрных списков». Администратор задаёт правила: какие приложения, IP-адреса или домены должны идти через VPN, а какие — напрямую в интернет.

    Например, корпоративная CRM и почта направляются в туннель, а YouTube и новости — через обычное подключение.

    На практике это выглядит так: VPN-клиент на устройстве пользователя анализирует каждый пакет и решает, куда его отправить. Если адрес назначения совпадает с корпоративной сетью, пакет шифруется и уходит на VPN-шлюз.

    В противном случае пакет уходит напрямую к провайдеру, минуя шифрование.

    Что обычно уходит в туннель, а что — нет

    • В туннель: доступ к внутренним ресурсам (базы данных, файловые серверы, корпоративные порталы), RDP-подключения, служебная переписка, системы документооборота.
    • Напрямую: стриминг, социальные сети, новостные сайты, обновления ОС, антивирусные базы, поисковые запросы.

    Такое разделение снижает нагрузку на VPN-шлюз и уменьшает задержки для некритичного трафика. Однако важно помнить: прямой трафик не защищён шифрованием VPN, поэтому для работы с конфиденциальными данными его использовать нельзя.

    Когда split tunneling полезен для бизнеса и удаленных команд

    Когда split tunneling полезен для бизнеса и удаленных команд

    Split tunneling особенно выручает, когда сотрудникам нужен доступ к корпоративным ресурсам, но при этом они активно пользуются облачными сервисами вроде Microsoft 365 или Google Workspace. Гнать весь трафик через VPN-шлюз — значит перегружать канал и замедлять работу.

    Раздельное туннелирование позволяет направить служебные запросы в защищённый туннель, а остальной интернет — напрямую.

    Для удалённых команд это снижает задержки при видеозвонках и работе с тяжёлыми файлами. Администраторам проще контролировать нагрузку на VPN-сервер, а пользователи не жалуются на тормоза. Однако без чётких политик безопасности такой подход может открыть лазейки для утечек.

    Основные сценарии использования

    • Доступ к внутренним системам — CRM, ERP, базы данных остаются под защитой VPN, а трафик к публичным сайтам идёт напрямую.
    • Работа с облачными приложениями — Microsoft 365, Salesforce, Slack оптимизируются через прямое подключение, что повышает скорость.
    • Экономия пропускной способности — меньше трафика через VPN = меньше затрат на каналы и оборудование.
    • Гибридные сценарии — часть приложений работает через туннель, часть — локально, без постоянного переключения.

    Важно помнить: split tunneling не отключает защиту целиком, а лишь перенаправляет трафик. Если настроить его правильно, бизнес получает и скорость, и безопасность.

    Когда split tunneling действительно полезен

    Сценарий Что вести через VPN Что можно пустить напрямую Главный риск
    Удалённая команда CRM, 1С, файловые шары, админки YouTube, новости, публичные SaaS без чувствительных данных Утечки через неверно исключённые приложения
    Филиалы и подрядчики Внутренние сегменты сети и документооборот Локальные сайты и бытовой трафик Сложность контроля маршрутов и DNS
    Мобильные сотрудники Почта, корпоративные API, панели доступа Стриминг, мессенджеры без рабочих данных Поломка логики на слабом клиенте или нестабильной сети

    Какие риски безопасности появляются при неправильной настройке

    Какие риски безопасности появляются при неправильной настройке

    Если настроить split tunneling без должного контроля, корпоративные данные могут оказаться под угрозой. Основная проблема — трафик, идущий в обход VPN, не шифруется и не проверяется корпоративными фильтрами. Это открывает прямой путь для вредоносного ПО, фишинга и утечек.

    Вот типичные сценарии, к которым приводит небрежная настройка:

    • Утечка данных через локальные сети. Если сотрудник подключен к публичному Wi-Fi, а часть трафика идет напрямую, злоумышленник может перехватить пароли или файлы.
    • Обход корпоративных политик. Пользователь может случайно или намеренно направить конфиденциальный трафик через незащищенный канал, например, загрузить документы в личное облако.
    • Заражение устройства. Прямой доступ к интернету без фильтрации увеличивает риск попадания вирусов, которые затем проникнут в корпоративную сеть через VPN-туннель.

    Чтобы минимизировать риски, используйте инверсный split tunneling — когда по умолчанию весь трафик идет через VPN, а исключения задаются строго по белому списку. Также обязательно внедрите рекомендации Microsoft по настройке split tunneling для Microsoft 365, чтобы критичные сервисы всегда оставались под защитой.

    Как внедрить split tunneling без утечек и хаоса

    Как внедрить split tunneling без утечек и хаоса

    Чтобы внедрение раздельного туннелирования прошло гладко, начните с чёткого разделения трафика по категориям. Определите, какие приложения и ресурсы должны идти через VPN (например, корпоративная CRM, базы данных, внутренние серверы), а какие могут выходить напрямую (стриминг, новости, соцсети).

    Используйте политики на основе списков — белых или чёрных. Белый список разрешает только указанные приложения через VPN, всё остальное идёт напрямую.

    Чёрный список, наоборот, блокирует прямой доступ к определённым сайтам. Для большинства компаний безопаснее начинать с белого списка.

    Вот ключевые шаги для безопасного внедрения:

    • Аудит трафика — проанализируйте, какие ресурсы реально используют сотрудники, и разделите их на критичные и некритичные.
    • Настройка DNS — убедитесь, что DNS-запросы для корпоративных доменов идут через VPN, иначе возможны утечки.
    • Тестирование на пилоте — сначала включите split tunneling для небольшой группы пользователей, чтобы выявить проблемы с доступом или производительностью.
    • Мониторинг и логирование — настройте сбор логов, чтобы видеть, какой трафик идёт в обход VPN, и оперативно реагировать на аномалии.

    Не забывайте про обратное раздельное туннелирование (inverse split tunneling), когда через VPN идёт только трафик к определённым ресурсам, а всё остальное — напрямую. Этот подход часто используют для доступа к облачным сервисам вроде Microsoft 365, чтобы снизить нагрузку на VPN-шлюз и улучшить скорость работы.

    Корпоративный контекст

    Для бизнеса и корпоративной инфраструктуры split tunneling — это не просто техническая опция, а инструмент, напрямую влияющий на производительность удалённых сотрудников и нагрузку на сеть. Без разделения трафика весь интернет-трафик сотрудника проходит через VPN-шлюз компании, что создаёт избыточную нагрузку на канал и увеличивает задержки для критичных приложений.

    Особенно это заметно при массовом переходе на удалённую работу: видеоконференции, стриминг и обновления ПО могут «забить» корпоративный канал, снижая скорость доступа к внутренним ресурсам.

    Правильно настроенный split tunneling позволяет направить через VPN только трафик к корпоративным приложениям и данным, а остальной интернет-трафик пустить напрямую. Это снижает нагрузку на VPN-шлюз, экономит пропускную способность и улучшает пользовательский опыт. Однако такой подход требует строгих политик безопасности: важно чётко определить, какие ресурсы должны быть защищены, и исключить утечку чувствительных данных через незашифрованные каналы. Подробнее о том, как организовать защищённый удалённый доступ для бизнеса, читайте в статье «Корпоративный VPN для бизнеса».

    Часто задаваемые вопросы

    Что такое split tunneling в VPN простыми словами?

    Split tunneling (раздельное туннелирование) — это функция VPN, которая позволяет направлять только часть интернет-трафика через защищённый туннель, а остальной трафик пускать напрямую в интернет. Например, вы можете подключиться к корпоративной сети через VPN для доступа к рабочим ресурсам, а для просмотра новостей или использования локального принтера трафик пойдёт напрямую, без шифрования.

    Это повышает скорость и снижает нагрузку на VPN-сервер.

    Какие бывают виды split tunneling?

    Существует несколько видов раздельного туннелирования:

    • По приложениям — VPN работает только для выбранных программ (например, браузер или почтовый клиент).
    • По адресам — трафик к определённым IP-адресам или доменам идёт через VPN, остальной — напрямую.
    • Инверсное туннелирование — наоборот, только указанный трафик идёт напрямую, а всё остальное — через VPN.
    • Динамическое туннелирование — маршрутизация меняется в реальном времени в зависимости от политик безопасности или типа ресурса.

    В чем разница между полным и раздельным туннелированием?

    При полном туннелировании весь интернет-трафик устройства шифруется и направляется через VPN-сервер. Это обеспечивает максимальную безопасность, но снижает скорость и увеличивает нагрузку на VPN-шлюз.

    Раздельное туннелирование позволяет гибко выбирать, какой трафик шифровать. Например, трафик к корпоративным ресурсам идёт через VPN, а потоковое видео или социальные сети — напрямую.

    Это экономит пропускную способность и уменьшает задержки, но требует тщательной настройки политик безопасности.

    Какие риски безопасности несет split tunneling?

    Основной риск — утечка корпоративных данных. Если злоумышленник получит доступ к устройству через незащищённый канал (например, при прямом выходе в интернет), он сможет атаковать корпоративную сеть.

    Также возможен обход политик безопасности: пользователь может случайно направить чувствительный трафик не через VPN. Чтобы минимизировать риски, необходимо использовать белые списки разрешённых ресурсов, внедрять многофакторную аутентификацию и регулярно обновлять клиенты VPN.

    Как настроить split tunneling для Microsoft 365?

    Microsoft рекомендует использовать раздельное туннелирование для оптимизации трафика Microsoft 365. Настройка включает:

    1. Определение оптимизируемого трафика (например, Teams, Exchange Online, SharePoint).
    2. Создание правил маршрутизации в VPN-клиенте, чтобы этот трафик шёл напрямую.
    3. Настройку прокси-сервера для обхода VPN для определённых доменов (например, *.office.com).
    4. Использование групповых политик для централизованного управления.

    Подробные инструкции доступны в документации Microsoft Learn.

    Практическое правило: split tunneling оправдан только тогда, когда у вас есть четкий список приложений, которые обязаны идти через туннель, и команда понимает, что именно остается снаружи.

    Если сотрудники не могут ответить, какие ресурсы должны всегда идти через VPN, рано включать эту функцию. Сначала соберите карту сервисов, потом проверьте политику на пилоте и только после этого открывайте настройку в проде.

    Практическое правило: split tunneling оправдан только тогда, когда у вас есть четкий список приложений, которые обязаны идти через туннель, и команда понимает, что именно остается снаружи.

    Если сотрудники не могут ответить, какие ресурсы должны всегда идти через VPN, рано включать эту функцию. Сначала соберите карту сервисов, потом проверьте политику на пилоте и только после этого открывайте настройку в проде.

    Другие статьи в блоге