Costumo ficar observando aqui tentando aprender com as perguntas e respostas.
Possivelmente uma pergunta ingênua:
Posso estar conectado a dois VPNs diferentes ao mesmo tempo de uma única máquina? Eu quase sempre uso protonvpn, mas tenho alguns trabalhos que precisam ser feitos em um VPN corporativo—é possível estar no corporativo sem desconectar do protonvpn?
Depende se o VPN envia rotas específicas (split tunnel) ou uma rota padrão (full tunnel). O protonvpn provavelmente é full tunnel, e seu VPN corporativo pode ser um ou outro (mas provavelmente split tunnel).
Se seu VPN corporativo for split tunnel, então isso pode funcionar. Você provavelmente vai querer garantir que há uma rota para o VPN corporativo apontando para seu gateway normal ao invés da rota padrão do protonvpn, para que você não envie tráfego corporativo em dois túneis desnecessariamente. Isso, claro, depende do software que cria o túnel também—alguns irão interromper a conexão se perceberem que a tabela de rotas mudou.
Você pode usar dois túneis full, mas não vejo isso te dando vantagem em termos de segurança, e provavelmente vai precisar fazer alguma manipulação manual da tabela de rotas para fazer isso funcionar. Se quer anonimato, use apenas o tor.
“Depende”
O cliente VPN da empresa pode detectar outro VPN rodando e desconectar a conexão corporativa por violação de segurança.
O cliente VPN da empresa pode não permitir “split-tunneling”, o que é necessário para você ter rotas apontando para outras interfaces de rede.
Depois temos o mesmo problema que outros estão tentando mencionar. Confusão de rotas.
O VPN corporativo provavelmente te fornece acesso à internet.
Seu outro VPN provavelmente também.
Se você tentar visitar o Google, qual caminho de internet ele irá usar?
Provavelmente você apenas vai encolher os ombros e pensar “Não me preocupo, desde que funcione, é só o Google”.
Mas e se você tentar visitar um site do Google Docs bloqueado pela empresa e precisa acessá-lo usando a conexão deles?
Como seu PC sabe qual caminho de internet usar?
A resposta é a tabela de rotas, mas agora você tem duas rotas de rede de custo igual apontando para “tudo”.
Leia o acordo de uso adequado do VPN da empresa.
Aposto que eles têm uma política que proíbe “split-tunneling” pois isso tecnicamente permite que seu computador faça ponte entre nossa rede e sua outra rede. Não queremos que a possibilidade exista de seu computador se tornar um instrumento de exfiltração de dados.
Como um profissional de tecnologia, sua reação a essa declaração deve ser:
“Ah sim, entendo completamente, e farei o que for preciso para proteger os dados da sua empresa, mesmo que seja uma inconveniência ou aborrecimento.”
Se sua reação a esse pedido for:
“Foda-se, sou profissional, e minha coisa está limpa, preciso usar meu VPN para que ninguém veja o que estou fazendo… vou hackear isso para funcionar do jeito que quero…”
Se descobrirmos isso, vamos te demitir com tanta força que você vai sentir nos ossos.
Um “profissional” que valoriza sua conveniência acima da segurança e integridade dos sistemas aos quais foi pago para servir ou acessar não é um profissional de verdade. É um amador perigoso que precisa ser mantido longe de qualquer coisa importante.
É possível—sim, sob certas circunstâncias.
É provável que não seja possível—não.
Você pode resolver isso de outra forma—absolutamente.
A maioria dos VPNs corporativos são full tunnel e é improvável que você consiga influenciar/ajustar essa configuração. Além disso, nada impede você de rodar uma ou mais máquinas virtuais no seu desktop e iniciar o VPN de dentro da VM.
A solução mais fácil é rodar duas VMs—uma para o VPN corporativo e outra para o protonvpn. Cada sistema operacional convidado agora tem sua própria tabela de rotas e configuração de VPN, e você não tem encapsulamento duplo acontecendo. O benefício adicional é que seu OS de desktop nativo tem uma conexão de internet limpa, sem VPN.
Posso estar conectado a dois VPNs diferentes ao mesmo tempo de uma única máquina?
Talvez, depende muito da configuração. O VPN corporativo é porque você trabalha de casa? Pode configurar um firewall separado na sua rede para conectar ao VPN corporativo (isso depende do tipo de VPN)? Se sim, você pode se conectar ao protonvpn e então configurar manualmente sua tabela de rotas com rotas persistentes para enviar seu tráfego corporativo para o firewall. Assim você consegue navegar na internet pública pelo protonvpn e tudo que precisar fazer para o trabalho passa pelo firewall.
Vi aqui para dizer o que outros já disseram. Depende dos VPNs, mas já fiz isso antes na situação de emergência.
Às vezes tive problemas (especialmente se os dois VPNs tinham sub-redes que se sobrepunham) ao fazer isso e, eventualmente, configurei VMs na minha máquina para isso—uma VM para um VPN e outra VM para outro.
é possível estar no corporativo sem desconectar do protonvpn?
Não na nossa VPN corporativa. Não permitimos “split tunneling”. Portanto, se você estiver conectado à nossa VPN, então todo o tráfego passa pela nossa VPN.
A forma mais fácil é ter várias VMs. Eu mantenho minhas estações de trabalho administrativas e regulares separadas, mas também meus clientes VPN, uma VM para problemas com SonicWalls, uma para VPN Forti, e algumas VMs para outros clientes.
Existe uma solução muito simples para isso. Use duas VMs. Nunca conecte à VPN a partir do seu host.
VM-A é para o seu protonvpn e VM-B é para o VPN corporativo. Realize todo o trabalho dentro das VMs guest.
Faço isso o tempo todo, e funciona perfeitamente. Eu mantenho uma VM “impecável” só para o VPN corporativo, e ela nunca roda a não ser que eu esteja trabalhando. Considere isso um jump-box ou bastion-host para trabalho.
Obrigado por essas respostas ótimas. Meu objetivo não é fazer nada contra a política da minha empresa, na verdade gosto deles e do meu trabalho. Eu estava principalmente curioso para saber se era possível. Parece que talvez seja possível em certos casos (acho que a VM resolveria), mas parece que é mais do que eu entendo.
Vou continuar fazendo o que tenho feito—trabalhar e desconectar do VPN quando terminar.
Sim. Desde que as sub-redes do lado remoto não conflitem, então você deveria estar bem.
Sim, provavelmente poderia, mas você estaria andando numa velocidade de caracol.