您可以使远程用户通过 Mobile VPN 隧道访问 Internet。 此选项会影响安全性,因为 Internet 流量未经筛选或加密。 Mobile VPN 隧道路由有两个选项:默认路由 VPN 和拆分隧道 VPN。
最安全的选项是要求所有远程用户的 Internet 流量通过 VPN 隧道路由到 XTM 设备。 然后流量再送回到 Internet。 使用此配置(称为默认路由 VPN)时,尽管 XTM 设备会占用更多处理能力和带宽,但 XTM 设备能够检查所有流量并提供增强的安全性。 使用默认路由 VPN 时,动态 NAT 策略必须包括来自远程网络的传出流量。 这样,远程用户可以在将所有流量发送到 XTM 设备时浏览 Internet。
在安装有 Microsoft Windows 的计算机上启动 Mobile VPN 隧道之后,如果使用“route print”或“ipconfig”命令,则会看到错误的默认网关信息。 正确的信息位于虚拟专用连接状态对话框中的详细信息选项卡上。
另一个配置选项是启用拆分隧道。 此配置使用户能够在无需通过 VPN 隧道发送 Internet 流量的情况下浏览 Internet。 拆分隧道可改善网络性能,但会降低安全性,因为您创建的策略不会应用于 Internet 流量。 如果使用拆分隧道,建议您在每台客户端计算机上安装防火墙软件。
在 Windows Vista、XP 和 7 中,PPTP 连接的默认设置是默认路由。 必须用动态 NAT 配置您的 XTM 设备以接收来自 PPTP 用户的流量。 管理从 XTM 设备后流出到 Internet 的流量的所有策略都必须配置为允许 PPTP 用户流量。
配置默认路由 VPN 时:
在客户端计算机上,将 PPTP 连接属性编辑为不通过 VPN 发送所有流量。
对于 Windows 8:
对于 Windows 7:
对于 Windows Vista 或 XP:
PPTP 路由由客户端计算机定义。 如果不选中在远程网络上使用默认网关复选框,则当流量目的地为已分配给客户端计算机的虚拟 IP 地址的 /24 子网时,客户端计算机仅通过 VPN 隧道路由流量。 例如,如果为客户端分配了虚拟 IP 地址 10.0.1.225,则流向 10.0.1.0/24 网络的流量通过 VPN 隧道路由,而流向 10.0.2.0 的流量则不通过 VPN 隧道路由。