Gdy VPN ma chronić ruch firmowy, ale jednocześnie nie chcesz przepuszczać przez niego każdej aplikacji i każdego urządzenia w domu albo biurze, split tunneling jest jednym z najbardziej praktycznych rozwiązań. Pozwala rozdzielić ruch tak, by wybrane programy, adresy lub podsieci szły przez tunel, a reszta korzystała z internetu bezpośrednio. W tym tekście wyjaśniam, jak to działa, kiedy ma sens, gdzie oszczędza pasmo i czas, a gdzie potrafi wprowadzić realne ryzyko dla bezpieczeństwa.
Najkrótszy obraz sytuacji
- Dzielony tunel VPN to sposób kierowania tylko części ruchu przez szyfrowane połączenie, a reszty bezpośrednio do internetu.
- Najczęściej wybiera się go wtedy, gdy trzeba jednocześnie mieć dostęp do zasobów firmowych i lokalnych urządzeń, na przykład drukarki, NAS-a albo usług SaaS.
- To nie jest funkcja bezpieczeństwa sama w sobie, tylko kompromis między kontrolą, wydajnością i wygodą.
- Największe ryzyko to błędne wyjątki, wycieki DNS i zbyt szerokie wyłączenia, które omijają polityki ochronne.
- Najlepsze efekty daje wtedy, gdy wyjątki są wąskie, dobrze przetestowane i sparowane z innymi mechanizmami ochrony.

Jak działa dzielony tunel w praktyce
W klasycznym trybie cały ruch z urządzenia przechodzi przez VPN. W modelu dzielonym klient analizuje reguły i decyduje, które połączenia mają iść tunelem, a które omijają go całkowicie. Z perspektywy użytkownika efekt jest prosty: jedna aplikacja widzi zasoby firmowe, inna korzysta z lokalnego internetu, a wszystko dzieje się równolegle.
W praktyce reguły mogą działać na kilku poziomach. Najczęściej spotkasz trzy podejścia: wykluczanie konkretnych aplikacji, kierowanie wybranych adresów IP lub podsieci oraz dzielenie ruchu na poziomie domen i DNS, czyli systemu tłumaczącego nazwy stron na adresy sieciowe. Każde z nich ma sens w trochę innym scenariuszu, a każde może też sprawić kłopot, jeśli wdroży się je zbyt szeroko.
| Wariant | Jak działa | Najlepsze zastosowanie | Typowe ograniczenie |
|---|---|---|---|
| Na poziomie aplikacji | Wybrane programy omijają tunel, inne dalej korzystają z VPN | Przeglądarka, komunikator, aplikacja do streamingu albo lokalne narzędzie testowe | Trudniej kontrolować ruch, gdy jedna aplikacja uruchamia wiele usług pomocniczych |
| Na poziomie IP lub podsieci | Wybrane adresy sieciowe są kierowane inną trasą | Dostęp do drukarki, serwera plików, zasobów w biurze lub oddzielnej sieci partnerskiej | Trzeba dobrze znać zakresy adresów, inaczej łatwo coś pominąć albo nadmiernie wyłączyć |
| Na poziomie domen i DNS | Wybrane nazwy domen są rozwiązywane i routowane inaczej niż pozostałe | Środowiska firmowe z rozdzielonym DNS, usługi wewnętrzne, hybrydowa infrastruktura | Jeśli DNS nie jest spójny, pojawiają się błędy, opóźnienia albo pozornie losowe problemy z dostępem |
To właśnie od tego wyboru zależy, czy cały mechanizm będzie elegancki i przewidywalny, czy stanie się zbiorem wyjątków trudnych do utrzymania. Z tego powodu warto od razu przejść od techniki do realnych scenariuszy użycia.
Kiedy to rozwiązanie ma sens
Najczęściej widzę sens w trzech sytuacjach: gdy trzeba pracować jednocześnie na zasobach firmowych i lokalnych, gdy pełny tunel zbyt mocno obciąża łącze oraz gdy jedno urządzenie ma obsługiwać kilka różnych ról bez ciągłego przełączania konfiguracji.
- Praca z domu - połączenie z zasobami firmy przez VPN, ale bez blokowania lokalnego internetu dla poczty, wideokonferencji czy aktualizacji systemu.
- Dostęp do urządzeń w LAN - drukarka, NAS, kamera IP albo panel administracyjny urządzenia nadal są osiągalne z poziomu sieci lokalnej.
- Duże transfery poza krytycznymi systemami - backup, synchronizacja plików albo aktualizacje aplikacji nie muszą zjadać całego pasma tunelu.
- Testowanie i rozwój - można sprawdzać usługi wewnętrzne, a jednocześnie korzystać z internetu tak, jak robi to reszta zespołu lub klient końcowy.
- Środowiska hybrydowe - część ruchu musi przechodzić przez polityki firmy, a część ma działać bezpośrednio, bo jest związana z lokalną siecią, telefonem lub sprzętem brzegowym.
Ja patrzę na to tak: jeśli użytkownik ma regularnie przełączać się między „jestem w firmie” i „jestem poza firmą”, to dobrze zaprojektowany model dzielony oszczędza mu wielu ręcznych obejść. Jeśli jednak ma być tylko wygodniejszą wersją pełnego tunelu, zwykle kończy się to dodatkowymi wyjątkami bez realnej korzyści. To prowadzi do najważniejszego pytania: co tak naprawdę zyskujesz, a co oddajesz w zamian.
Co zyskujesz, a co ryzykujesz
Najuczciwiej traktować ten mechanizm jako kompromis, nie jako „ulepszenie bezpieczeństwa”. W wielu organizacjach daje on świetny efekt operacyjny, ale nie zmienia podstawowego faktu: część ruchu wychodzi poza kontrolowany tunel i trzeba to świadomie zaakceptować.
| Kryterium | Pełny tunel | Dzielony tunel |
|---|---|---|
| Bezpieczeństwo | Cały ruch przechodzi przez jeden kontrolowany kanał | Wybrane połączenia omijają VPN, więc polityka musi być dokładniejsza |
| Wydajność | Większe obciążenie łącza i zwykle większe opóźnienia | Mniejsze zużycie pasma i często lepsza responsywność aplikacji |
| Dostęp do lokalnych zasobów | Czasem ograniczony lub utrudniony | Zazwyczaj prostszy, bo lokalne urządzenia mogą pozostać osiągalne bez obejść |
| Złożoność konfiguracji | Prostsza polityka, mniej wyjątków | Więcej reguł, więcej testów i większa szansa na błąd |
Najważniejsze ryzyka są zwykle trzy. Po pierwsze, zbyt szerokie wyjątki, które niepotrzebnie wyłączają całe grupy adresów albo aplikacji. Po drugie, wyciek DNS, czyli sytuacja, w której sama aplikacja idzie inną drogą niż zapytania o nazwę domeny. Po trzecie, rozjazd między polityką a rzeczywistością, gdy użytkownik ma włączony VPN, ale jednocześnie część ruchu wychodzi poza ochronę, co nie zawsze jest dla niego oczywiste.
W praktyce to właśnie te kompromisy decydują, czy mechanizm działa dobrze, czy tylko wygląda dobrze na papierze. Dlatego sensowne wdrożenie ma większe znaczenie niż sam wybór funkcji.
Jak ustawić go rozsądnie
Jeśli ktoś ma wdrożyć taki model bez wpadek, zaczynam od jednej zasady: najpierw określam, co musi zostać w VPN, a dopiero potem dopisuję wyjątki. Odwrócenie tej kolejności zwykle prowadzi do nadmiarowych wyłączeń i dziwnych problemów z dostępem.
- Zdefiniuj ruch krytyczny, który zawsze ma iść tunelem, na przykład systemy kadrowe, panel administracyjny, zasoby finansowe albo aplikacje z wrażliwymi danymi.
- Zawężaj wyjątki do minimum. Jeśli wystarczy jedna aplikacja, nie wyłączaj całej podsieci.
- Sprawdź DNS dla domen wewnętrznych. Jeśli zapytanie trafia do niewłaściwego resolwera, użytkownik zobaczy błąd, choć sam routing będzie poprawny.
- Przetestuj połączenie na kilku sieciach: domowe Wi-Fi, hotspot z telefonu, Ethernet w biurze i po wznowieniu systemu ze snu.
- Zweryfikuj, co dzieje się po zerwaniu tunelu. Mechanizm awaryjny, czyli kill switch, odcina ruch, gdy VPN przestaje działać, ale nie każda konfiguracja zachowuje się identycznie.
- Jeśli to środowisko firmowe, połącz reguły ruchu z MFA, kontrolą stanu urządzenia i aktualnymi zasadami dostępu warunkowego.
Dobrą praktyką jest też testowanie na danych technicznych, a nie na „wydaje mi się, że działa”. Wystarczy sprawdzić, czy odpowiedź z nslookup albo dig dla domen firmowych idzie przez właściwy resolver i czy adres IP widoczny na zewnątrz odpowiada temu, czego oczekujesz w danym scenariuszu. To są szybkie testy, a potrafią oszczędzić godzinę zgadywania.
Gdy konfiguracja jest już gotowa, wchodzą do gry pułapki, które najczęściej psują cały efekt. I właśnie one odróżniają poprawny pomysł od poprawnie działającego wdrożenia.
Najczęstsze błędy i pułapki
Najczęściej problem nie leży w samej technologii, tylko w tym, że ktoś próbuje nią załatwić za dużo naraz. Wtedy każde uproszczenie staje się wyjątkiem, a każdy wyjątek trzeba później tłumaczyć użytkownikom i administratorom.
- Zbyt szerokie wyłączenia - zamiast jednej aplikacji omija tunel pół sieci, a polityka ochronna przestaje być czytelna.
- Brak rozdzielenia DNS - aplikacja trafia we właściwy adres IP, ale resolver zwraca nie tę nazwę, której oczekiwano.
- Kolizja podsieci - sieć domowa i firmowa używają tego samego zakresu, na przykład 10.0.0.0/24, więc lokalne i firmowe zasoby zaczynają się „nakładać”.
- Systemowe reguły nadrzędne - mechanizm na poziomie systemu może nadpisać wyjątki ustawione w aplikacji VPN, więc użytkownik widzi inną rzeczywistość niż administrator w panelu.
- Brak testu po restarcie lub uśpieniu - wszystko działa po konfiguracji, ale po wznowieniu laptopa tunel zachowuje się inaczej.
- Mylenie wygody z bezpieczeństwem - fakt, że użytkownik „ma VPN”, nie oznacza jeszcze, że cały jego ruch jest tak samo chroniony.
W środowiskach firmowych szczególnie ważne jest to, żeby użytkownik wiedział, co zostało wyłączone i dlaczego. Bez tej przejrzystości rośnie liczba zgłoszeń, a zespół bezpieczeństwa zaczyna gasić pożary, które sam nieświadomie rozpalił nadmiarem wyjątków. To prowadzi do ostatniej, bardzo praktycznej decyzji: kiedy lepiej wybrać pełny tunel zamiast dzielonego.
Kiedy lepiej postawić na pełny tunel zamiast wyjątku
Jeśli priorytetem jest maksymalna kontrola, jednolita polityka i prosty audyt, pełny tunel zwykle wygrywa. Tak jest zwłaszcza tam, gdzie pracuje się na danych wrażliwych, urządzenia są słabo zarządzane albo użytkownicy łączą się z sieci publicznych i nie powinno być żadnych wątpliwości, którędy płynie ruch.
Ja traktuję dzielony model jako rozwiązanie dla środowisk, które naprawdę potrzebują równoległego dostępu do dwóch światów: firmowego i lokalnego. Dobrze ustawiony daje wygodę, lepszą wydajność i mniej konfliktów z urządzeniami w sieci LAN, ale źle ustawiony potrafi osłabić całą architekturę ochrony. Jeśli więc masz wybór, zaczynaj od pytania, co musi być zawsze chronione, a dopiero potem decyduj, co wolno wypuścić poza tunel.
