Dubbio su instradamento traffico web - VPN e iCloud Private Relay

[JitterPing]

Buon pomeriggio a tutti,

spero di aver "azzeccato" la sezione giusta, essendo un tema riguarante sia il comportamento del buon vecchio Mac OS che le reti più in generale: scusate se mi dilungo per le necessarie premesse, e magari per la domanda stupida ma sono a zero in quanto concetti reti informatiche...

Da qualche anno ho la possibilità di accedere/gestire da remoto con dei computer (Apple) dei PC desktop (Windows) tramite il software Microsoft Remote Desktop installato sui primi (mentre, sui secondi, è semplicemente bastato attivare la relativa funzione dalle impostazioni).

Per poter avviare la sessione di accesso remoto, è tuttavia necessario avviare preventivamente una connessione VPN tra il Mac di turno e la rete presso cui i PC Windows sono installati (un ufficio): la rete VPN di cui sopra, configurata dal tecnico IT dell'ufficio, ha richiesto la creazione della stessa tramite l'aggiunta di un profilo dedicato nelle impostazioni dei Mac, che però ha riguardato "solo" qualche credenziale "di base" (quale IP, nome utente/password, ecc.). Preciso, per completezza, che sui computer Apple è attivo di default il c.d. servizio "iCloud Private Relay".

Ora, il mio dubbio riguarda quale traffico dati viene instradato tramite la rete VPN/Desktop Remoto e quale invece ne resta al di fuori.

Normalmente, con l'uso di un qualsiasi software/servizio VPN tanto in voga in questi anni, tutto il traffico viene instradato tramite la VPN e, di conseguenza, assume l'identità della connessione corrispondente (IP, paese di connessione, ecc.).

Nel caso della VPN di lavoro menzionata sopra, invece, mi sono accorto che l'attività portata avanti "sul Mac" continua ad avere l'IP e connessione diciamo principale, ovvero quella del luogo presso cui il Mac si trova (o più precisamente quella del "Private Relay di iCloud), e non passa tramite la VPN attiva in quel momento per poter comunicare con il PC Windows remoto.
Di contro, "Microsoft Remote Desktop" usa la connessione VPN attiva per comunicare con il PC Windows.

In altre parole, non avendo trovato opzioni, configurazioni o "spunte" particolari, non mi è chiaro cosa imponga al software ""Microsoft Remote Desktop" di usare solo la VPN dell'ufficio, e di non usare quest'ultima per tutto il resto di traffico (web, app, ecc) generato dal Mac: o, al contrario, impedisca alle varie applicazioni e servizi sui Mac di instradare tutto il traffico solo tramite la VPN aziendale.

Mi rendo conto di averlo descritto malaccio e in modo contorto, ma spero comunque che sia "passato" il concetto e il mio dubbio di base.

Grazie a tutti in anticipo

[insane74]

Quote:

Originariamente inviato da JitterPing

Buon pomeriggio a tutti,

spero di aver "azzeccato" la sezione giusta, essendo un tema riguarante sia il comportamento del buon vecchio Mac OS che le reti più in generale: scusate se mi dilungo per le necessarie premesse, e magari per la domanda stupida ma sono a zero in quanto concetti reti informatiche...

Da qualche anno ho la possibilità di accedere/gestire da remoto con dei computer (Apple) dei PC desktop (Windows) tramite il software Microsoft Remote Desktop installato sui primi (mentre, sui secondi, è semplicemente bastato attivare la relativa funzione dalle impostazioni).

Per poter avviare la sessione di accesso remoto, è tuttavia necessario avviare preventivamente una connessione VPN tra il Mac di turno e la rete presso cui i PC Windows sono installati (un ufficio): la rete VPN di cui sopra, configurata dal tecnico IT dell'ufficio, ha richiesto la creazione della stessa tramite l'aggiunta di un profilo dedicato nelle impostazioni dei Mac, che però ha riguardato "solo" qualche credenziale "di base" (quale IP, nome utente/password, ecc.). Preciso, per completezza, che sui computer Apple è attivo di default il c.d. servizio "iCloud Private Relay".

Ora, il mio dubbio riguarda quale traffico dati viene instradato tramite la rete VPN/Desktop Remoto e quale invece ne resta al di fuori.

Normalmente, con l'uso di un qualsiasi software/servizio VPN tanto in voga in questi anni, tutto il traffico viene instradato tramite la VPN e, di conseguenza, assume l'identità della connessione corrispondente (IP, paese di connessione, ecc.).

Nel caso della VPN di lavoro menzionata sopra, invece, mi sono accorto che l'attività portata avanti "sul Mac" continua ad avere l'IP e connessione diciamo principale, ovvero quella del luogo presso cui il Mac si trova (o più precisamente quella del "Private Relay di iCloud), e non passa tramite la VPN attiva in quel momento per poter comunicare con il PC Windows remoto.
Di contro, "Microsoft Remote Desktop" usa la connessione VPN attiva per comunicare con il PC Windows.

In altre parole, non avendo trovato opzioni, configurazioni o "spunte" particolari, non mi è chiaro cosa imponga al software ""Microsoft Remote Desktop" di usare solo la VPN dell'ufficio, e di non usare quest'ultima per tutto il resto di traffico (web, app, ecc) generato dal Mac: o, al contrario, impedisca alle varie applicazioni e servizi sui Mac di instradare tutto il traffico solo tramite la VPN aziendale.

Mi rendo conto di averlo descritto malaccio e in modo contorto, ma spero comunque che sia "passato" il concetto e il mio dubbio di base.

Grazie a tutti in anticipo

iCloud Private Relay non è una VPN ma un proxy. di fatto il traffico internet generato dal Mac viene instradato tramite i proxy di Apple e, a seconda delle impostazioni, risulta avere un IP "generico" (=fuso orario) o "regionale" (=Italia).

una VPN collega, tramite internet, due sottoreti. per esempio in smart working mi collego alla VPN aziendale. il mio PC ha IP fornito dal provider internet 333.444.555.666 e ha IP locale 192.168.1.10, subnet 255.255.255.0 (=vedi tutti gli IP locali 192.168.1.x). quando mi collego alla VPN, la rete aziendale mi fornisce un IP su quella rete locale (per esempio 172.777.888.11, subnet 255.255.255.0 = vedo tutti gli IP della LAN aziendale con IP 172.777.888.x).
quindi quando provi a collegarti in remote desktop all'indirizzo 172.777.888.22 il Mac "sa" che deve instradare quella chiamata verso la sottorete che gli permette di raggiungere quell'IP, cioè la VPN.

poi a seconda delle impostazioni lato server della VPN, il traffico internet può essere lasciato "locale" (=esci con l'IP del tuo provider internet) o rediretto alla VPN (=esci con l'IP dell'azienda).

[JitterPing]

Quote:

Originariamente inviato da insane74

iCloud Private Relay non è una VPN ma un proxy. di fatto il traffico internet generato dal Mac viene instradato tramite i proxy di Apple e, a seconda delle impostazioni, risulta avere un IP "generico" (=fuso orario) o "regionale" (=Italia).

una VPN collega, tramite internet, due sottoreti. per esempio in smart working mi collego alla VPN aziendale. il mio PC ha IP fornito dal provider internet 333.444.555.666 e ha IP locale 192.168.1.10, subnet 255.255.255.0 (=vedi tutti gli IP locali 192.168.1.x). quando mi collego alla VPN, la rete aziendale mi fornisce un IP su quella rete locale (per esempio 172.777.888.11, subnet 255.255.255.0 = vedo tutti gli IP della LAN aziendale con IP 172.777.888.x).
quindi quando provi a collegarti in remote desktop all'indirizzo 172.777.888.22 il Mac "sa" che deve instradare quella chiamata verso la sottorete che gli permette di raggiungere quell'IP, cioè la VPN.

poi a seconda delle impostazioni lato server della VPN, il traffico internet può essere lasciato "locale" (=esci con l'IP del tuo provider internet) o rediretto alla VPN (=esci con l'IP dell'azienda).

Ti ringrazio molto per la pronta risposta, ma ti prego di avere pazienza se dico che il dubbio mi rimane (e cerco di spiegarmi in modo più conciso)
Preso atto della tua spiegazione, e tralasciando il servizio proxy di Apple, la mia situazione è la seguente:

- Connesso ad un qualsiasi servizio VPN (fai tu il nome, TunnelBear, OperaVPN, Nord VPN, ecc) la navigazione browser, per esempio, risulta con IP e paese corrispondente al server selezionato del servizio stesso (ovvero sono in Italia ma per esempio risulta dalla Germania, Francia, ecc). E, immagino, anche tutto il resto del traffico generato dal Mac passi dallo stesso instradamento.

- Connesso alla VPN aziendale, invece, il traffico web risulta con il mio provider internet abituale (as esempio Fastweb) e, immagino, anche tutto il resto del traffico internet (email, chat, ecc): al contempo solo "Microsoft Remote Desktop" sembra sfruttare la connessione VPN aziendale.
Perchè in questo caso tutta la navigazione non risulta con l'IP/connessione della VPN aziendale (ad esempio TIM) come nel primo caso, ovvero come se lo generassi standomene in ufficio (che, nel primo caso, corrisponderebbe a Germania, Francia, ecc).

Il mio cruccio è, oltre che approfondire la questione per mera conoscenza, capire se il traffico generato dal Mac possa in qualche modo essere visionato/analizzato dal gestore della VPN, ovvero dal tecnico IT dell'ufficio. Questo banalmente per motivi di privacy o meglio riservatezza, essendo il lavoro svolto su rete VPN dedicato ad un soggetto giuridico, mentre quello del Mac dedicato ad soggetto giuridico diverso (che nulla hanno a che fare tra loro).

[insane74]

Quote:

Originariamente inviato da JitterPing

Ti ringrazio molto per la pronta risposta, ma ti prego di avere pazienza se dico che il dubbio mi rimane (e cerco di spiegarmi in modo più conciso)
Preso atto della tua spiegazione, e tralasciando il servizio proxy di Apple, la mia situazione è la seguente:

- Connesso ad un qualsiasi servizio VPN (fai tu il nome, TunnelBear, OperaVPN, Nord VPN, ecc) la navigazione browser, per esempio, risulta con IP e paese corrispondente al server selezionato del servizio stesso (ovvero sono in Italia ma per esempio risulta dalla Germania, Francia, ecc). E, immagino, anche tutto il resto del traffico generato dal Mac passi dallo stesso instradamento.

- Connesso alla VPN aziendale, invece, il traffico web risulta con il mio provider internet abituale (as esempio Fastweb) e, immagino, anche tutto il resto del traffico internet (email, chat, ecc): al contempo solo "Microsoft Remote Desktop" sembra sfruttare la connessione VPN aziendale.
Perchè in questo caso tutta la navigazione non risulta con l'IP/connessione della VPN aziendale (ad esempio TIM) come nel primo caso, ovvero come se lo generassi standomene in ufficio (che, nel primo caso, corrisponderebbe a Germania, Francia, ecc).

Il mio cruccio è, oltre che approfondire la questione per mera conoscenza, capire se il traffico generato dal Mac possa in qualche modo essere visionato/analizzato dal gestore della VPN, ovvero dal tecnico IT dell'ufficio. Questo banalmente per motivi di privacy o meglio riservatezza, essendo il lavoro svolto su rete VPN dedicato ad un soggetto giuridico, mentre quello del Mac dedicato ad soggetto giuridico diverso (che nulla hanno a che fare tra loro).

allora, le reti non sono il mio campo, ma uso VPN ogni giorno per lavoro sul portatile aziendale (Windows 11) quindi un po' di casistiche/prove/intoppi mi sono capitati.

come dicevo nel precedente intervento, se lato server chi fornisce la VPN decide che TUTTO il traffico di rete viene instradato tramite la VPN, allora ecco che quando navighi l'IP risulta quella del fornitore della VPN (esempio: ti colleghi all'ufficio e il tuo IP internet risulta essere l'IP (probabilmente fisso) della tua azienda).
se invece chi fornisce la VPN decide che alla configurazione delle tue connessioni viene AGGIUNTA una route/gateway che instrada un determinato range di IP come se fossero della LAN, allora vedrai le risorse di quella sottorete come se tu fossi in ufficio, ma l'IP "internet" è quello del tuo provider (lo stesso che avresti con la VPN non collegata).

per il monitoraggio, dipende: teoricamente solo il traffico che prende quella route/gateway è interessato dalla VPN aziendale, il resto dovrebbe essere "trasparente".
lì poi entrano in gioco anche i DNS, la priorità delle route, ecc (ripeto, non sono un esperto).
del tipo: se la VPN aziendale non aggiunge i suoi DNS prima di quelli del tuo provider, la ricerca di www.hwupgrade.it non dovrebbe passare dalla VPN aziendale perché i DNS della tua rete domestica rispondono alla richiesta.
invece quando digiti \\172.777.888.22\cartella_condivisa allora lo stack di rete si accorge che per risolvere quell'IP deve usare la route/gateway aggiunta dalla VPN collegata e instrada il traffico sulla VPN.

ma probabilmente il posto giusto in cui chiedere è la sezione di Networking del forum.

[JitterPing]

Ti ringrazio nuovamente per la riposta, e mi scuso per il ritardo della presente

Per quanto riguarda la sezione, anni fa fui ripreso da un moderatore perchè avevo messo in sezione "RAM e affini" una questione riguardante la RAM, dato che avrei dovuto metterla in quella dei Mac: quindi questa volta ho fatto come da indicazioni (nel caso comunque sposterò il topic).

Per quanto riguarda invece il tuo feedback, capisco cosa hai scritto, ma a me manca sempre un passaggio, ovvero qual'è la discriminante per la quale il mio Mac (sembra che) mandi tramite la VPN solo il traffico dell'app "Microsoft Remote Desktop", mentre il resto ne rimanga al di fuori, non avendo trovato nessuna impostazione in merito: ripeto, di solito quando avvii un servizio/app di VPN in automatico l'intero traffico inizia a passare da lì, a meno che app/servizi non vengano esclusi o inclusi esplicitamente tramite whitelists o simili.

Per quanto riguarda la VPN aziendale sono sicuro del fatto che l'intero traffico dell'ufficio entra/esce sul provider dell'ufficio, mentre le VPN sui singoli notebook sono state create dal tecnico IT solo per far connettere le macchine alla rete locale dell'ufficio, appunto.

[M@n]

ma scusa non fai prima a chiedere al tuo IT come viene gestito il traffico della VPN?

[insane74]

Quote:

Originariamente inviato da JitterPing

Ti ringrazio nuovamente per la riposta, e mi scuso per il ritardo della presente

Per quanto riguarda la sezione, anni fa fui ripreso da un moderatore perchè avevo messo in sezione "RAM e affini" una questione riguardante la RAM, dato che avrei dovuto metterla in quella dei Mac: quindi questa volta ho fatto come da indicazioni (nel caso comunque sposterò il topic).

Per quanto riguarda invece il tuo feedback, capisco cosa hai scritto, ma a me manca sempre un passaggio, ovvero qual'è la discriminante per la quale il mio Mac (sembra che) mandi tramite la VPN solo il traffico dell'app "Microsoft Remote Desktop", mentre il resto ne rimanga al di fuori, non avendo trovato nessuna impostazione in merito: ripeto, di solito quando avvii un servizio/app di VPN in automatico l'intero traffico inizia a passare da lì, a meno che app/servizi non vengano esclusi o inclusi esplicitamente tramite whitelists o simili.

Per quanto riguarda la VPN aziendale sono sicuro del fatto che l'intero traffico dell'ufficio entra/esce sul provider dell'ufficio, mentre le VPN sui singoli notebook sono state create dal tecnico IT solo per far connettere le macchine alla rete locale dell'ufficio, appunto.

dipende appunto dalla VPN.
qui non si parla di una VPN tipo NordVPN, dove è impostato che TUTTO il traffico internet viene instradato tramite quella VPN.

la VPN aziendale si collega al server VPN aziendale il quale comunica "le regole" di instradamento.
tutto? solo una determinata sottorete di indirizzi IP?
se, come scrivi, non tutto il traffico viene instradato tramite la rete aziendale significa che, quando attivi la VPN, il server VPN comunica col client VPN dicendogli "ehi, aggiungi questa route dinamica: gli indirizzi con classe 172.16.x.x vengono reindirizzati tramite il gateway 172.16.10.1.1, DNS 172.16.1.5 e metti questa route dinamica in testa alle route della LAN (e del WIFI)".
così quando digiti \\nomedelserveraziendale\sharedirete, il tuo Mac segue le route per poter instradare il traffico. alla prima route che è impostata chiede di risolvere quel nome server. quel nome server viene risolto dal DNS trovato sulla rete 172.16.x.x e il Mac non prosegue oltre, ha trovato la corrispondenza e ti ci fa collegare.

se provi a scrivere nel browser www.google.it e la VPN aziendale NON è impostata per risolvere indirizzi al di fuori della classe 172.16.x.x, la prima route non riesce a risolvere quell'indirizzo e passa alla seconda route. la seconda route è (quasi certamente) quella che va al tuo router dove sono impostati i tuoi DNS (o quelli del provider internet), l'indirizzo viene risolto -> raggiungi il sito.

quanto sopra è una spiegazione che farebbe inorridire un esperto di reti, ma spero si capisca meglio il giro.

in soldoni: dipende dalla VPN cui ti colleghi col tuo client. è la VPN che, al momento della connessione, "manipola" la configurazione di rete del Mac e modifica il modo / la sequenza con cui vengono risolti i "nomi" dei dispositivi cui ti vuoi collegare.

[insane74]

giusto perché sono ignorante col Mac, ho chiesto a ChatGPT:

Quote:

Per visualizzare l'elenco delle route (sia statiche che dinamiche) su Mac OS, puoi utilizzare il comando netstat. Apri il Terminale e digita:
netstat -nr
Questo comando visualizzerà la tabella di routing del sistema, mostrando tutte le route attualmente configurate.
Ecco una breve descrizione delle opzioni usate:
• —n: Mostra gli indirizzi numerici anziché risolvere i nomi degli host.
• -r: Mostra la tabella di routing.
Puoi anche usare route per un output simile:
route -n get default
Questo comando mostrerà i dettagli della route predefinita.
Se desideri informazioni più dettagliate o filtrate, puoi utilizzare altre opzioni di netstat o route.

prova a lanciare i comandi PRIMA e DOPO il collegamento alla VPN e vedi le differenze.

PS: non è che la VPN ti reindirizza solo Microsoft Remote Desktop. è una questione di IP/rotte, non di applicazioni utilizzate.

[JitterPing]

Quote:

Originariamente inviato da M@n

ma scusa non fai prima a chiedere al tuo IT come viene gestito il traffico della VPN?

In un mondo ideale si, in quello specifico purtroppo no: la persona in questione è un po "strana" e sospettosa, non so perchè, specie con me che faccio diverse domande per capire meglio le cose che non conosco

[JitterPing]

Quote:

Originariamente inviato da insane74

dipende appunto dalla VPN.
qui non si parla di una VPN tipo NordVPN, dove è impostato che TUTTO il traffico internet viene instradato tramite quella VPN.

la VPN aziendale si collega al server VPN aziendale il quale comunica "le regole" di instradamento.
tutto? solo una determinata sottorete di indirizzi IP?
se, come scrivi, non tutto il traffico viene instradato tramite la rete aziendale significa che, quando attivi la VPN, il server VPN comunica col client VPN dicendogli "ehi, aggiungi questa route dinamica: gli indirizzi con classe 172.16.x.x vengono reindirizzati tramite il gateway 172.16.10.1.1, DNS 172.16.1.5 e metti questa route dinamica in testa alle route della LAN (e del WIFI)".
così quando digiti \\nomedelserveraziendale\sharedirete, il tuo Mac segue le route per poter instradare il traffico. alla prima route che è impostata chiede di risolvere quel nome server. quel nome server viene risolto dal DNS trovato sulla rete 172.16.x.x e il Mac non prosegue oltre, ha trovato la corrispondenza e ti ci fa collegare.

se provi a scrivere nel browser www.google.it e la VPN aziendale NON è impostata per risolvere indirizzi al di fuori della classe 172.16.x.x, la prima route non riesce a risolvere quell'indirizzo e passa alla seconda route. la seconda route è (quasi certamente) quella che va al tuo router dove sono impostati i tuoi DNS (o quelli del provider internet), l'indirizzo viene risolto -> raggiungi il sito.

quanto sopra è una spiegazione che farebbe inorridire un esperto di reti, ma spero si capisca meglio il giro.

in soldoni: dipende dalla VPN cui ti colleghi col tuo client. è la VPN che, al momento della connessione, "manipola" la configurazione di rete del Mac e modifica il modo / la sequenza con cui vengono risolti i "nomi" dei dispositivi cui ti vuoi collegare.

Ok, quindi il concetto di base che mi sfuggiva è che è la VPN a gestire i parametri.

[JitterPing]

Quote:

Originariamente inviato da insane74

giusto perché sono ignorante col Mac, ho chiesto a ChatGPT:



prova a lanciare i comandi PRIMA e DOPO il collegamento alla VPN e vedi le differenze.

PS: non è che la VPN ti reindirizza solo Microsoft Remote Desktop. è una questione di IP/rotte, non di applicazioni utilizzate.

a ChatGPT non ci avevo proprio pensato

Ho seguito il suggerimento ma, ehm, è come se non lo avessi fatto: mi sono uscite due liste di stringhe che non so decifrare, a parte gli indirizzi IP, ma il resto sono codifiche "Flag", "Netif", numeri su "expire", età..