连接VPN后无法访问互联网的解决方案
笔者从事的远程运维工作严重依赖 VPN 连接到单位内网,再加上工作多年后只剩下了多年工作,而工作又很难脱离内网环境开展,所以笔者是 VPN 的重度使用者。
本文介绍笔者工作以来使用 VPN 的几种方式,介绍如何在使用 VPN 的同时保持互联网访问。
方案一
最简单的方案是在家庭网络的桌面电脑中直接使用 VPN,这也是笔者最早采用的方案。
该方案有两个问题:
- 长时间连接 VPN 不安全,容易被黑客利用
笔者连接 VPN 的电脑曾经被信息部门检查,该次检查促使笔者放弃使用家庭桌面电脑直连 VPN,转而采用双电脑方案。
- 连接 VPN 的电脑无法访问互联网
VPN 某次升级后就限制连接 VPN 的电脑访问互联网,甚至连安装的内部 360 软件都无法正常升级。 这也进一步说明双电脑方案的必要性。
图 桌面电脑直连 VPN 示意图,开启 VPN 后桌面电脑无法访问互联网
方案二
为了提高使用 VPN 的安全性,笔者在一台专用的笔记本中安装 VPN 环境,桌面电脑通过远程桌面连接笔记本。 该笔记本仅安装连接 VPN 和开展运维工作需要的软件,不安装其他软件,最大程度避免其他软件可能带来的潜在漏洞。 双电脑方案也非常适合将个人家庭用途与工作用途严格分离,做到互不干扰。
图 桌面电脑 + 笔记本连接 VPN 示意图,桌面电脑通过远程桌面访问笔记本,笔记本直接连接 VPN
方案二依赖 Windows 自带的远程桌面服务。 最近一次 VPN 更新后,运行 VPN 电脑的远程桌面服务被封掉,桌面电脑无法再通过远程桌面软件连接到笔记本,因此引出了第三种方案。
注:理论上说其他远程桌面连接软件也可以使用,但为了安全起见,不要轻易尝试。
方案三
为了解决 VPN 电脑无法使用远程桌面服务的问题,在专用笔记本中启动虚拟机,在虚拟机中安装 VPN 环境,桌面电脑通过远程桌面连接笔记本,笔记本运行虚拟机的可视化桌面。 虚拟机软件使用 Windows 自带的 HyperV,安装 Windows 10 操作系统。 该方案对笔记本性能有一些要求,自从开了虚拟机后,笔者笔记本就时不时传出风扇声,也许将笔记本改为微型台式机更合适一些。
图 桌面电脑 + 笔记本 + 虚拟机连接 VPN 示意图,桌面电脑通过远程桌面访问笔记本,笔记本在虚拟机中连接 VPN
下图展示了目前笔者使用 VPN 的一般流程。桌面电脑远程桌面连接笔记本,笔记本运行 HyperV 虚拟机的可视化桌面,虚拟机运行 VPN 并远程桌面连接到工作电脑。
图 当前使用 VPN 访问单位内网工作电脑的解决方案,通过三层远程桌面访问
实际上桌面电脑也可以通过虚拟机连接 VPN,但笔者不推荐这种方案。 因为 VPN 属于工作软件,应该安装在工作电脑中,而信息部门有权检查工作电脑,所以为了保护个人隐私,最好使用工作电脑连接 VPN,比如单位为运维人员配备的笔记本。
后记
安全和易用往往是矛盾的。在安全性由专门部门负责的背景下,作为安全产品的使用方只能在满足安全要求的前提下去寻找适合自己的使用方式。 本文介绍的方法过于繁琐,不一定适合每个使用 VPN 的同事。没有最好的方案,只有最合适的方案。
如果下次升级导致方案三也不能用了呢?那就应该去学习新的 IT 技术了。
