Split tunneling w VPN: jak ustawić, żeby bank działał, a reszta była chroniona

Przez
Grzegorz Baran
-
0
61
3/5 - (1 vote)

Nawigacja:

Po co łączyć VPN ze zwykłym połączeniem: realny problem z bankami

Dlaczego banki często nie akceptują połączeń przez VPN

Banki bardzo agresywnie filtrują podejrzane logowania. VPN wygląda dla nich właśnie jak coś podejrzanego: nagle logujesz się z innego kraju, z adresu IP współdzielonego przez setki użytkowników, czasem z podsieci znanej z usług typu „anonimowe proxy”. Systemy antyfraudowe w bankach reagują na takie sytuacje dużo ostrzej niż na zwykłe zmiany urządzeń.

Silniki bezpieczeństwa analizują wiele sygnałów naraz: geolokalizację IP, znane „złe” zakresy adresów, typowe trasy ruchu, porę dnia, historię twoich logowań. VPN często wywraca ten model do góry nogami — przez lata logujesz się z Polski, a teraz nagle pojawiasz się z holenderskiego lub amerykańskiego IP, do tego współdzielonego przez dużą grupę osób.

Spora grupa banków ma na stałe wpisane reguły „podkręcające” czujność przy logowaniach z VPN-ów i serwerów proxy. Nie zawsze oznacza to całkowitą blokadę, ale zwykle powoduje dodatkowe kroki weryfikacyjne i większą skłonność do blokowania transakcji podejrzanych, np. przelewów na nowy rachunek lub do nowego odbiorcy.

Najczęstsze objawy problemów z bankowością przy włączonym VPN

Problemy z bankiem przy włączonym VPN-ie rzadko są jasno komunikowane komunikatem „nie lubimy VPN”. Objawia się to raczej denerwującymi, nieoczywistymi zachowaniami:

  • strona logowania ładuje się bardzo wolno albo wcale, po chwili wraca pusty ekran lub błąd „sesja wygasła”;
  • system prosi o dodatkową autoryzację niemal przy każdym logowaniu (np. potwierdzenia w aplikacji, SMS-y, pytania kontrolne);
  • po zalogowaniu szybko następuje automatyczne wylogowanie, czasem po kilku kliknięciach;
  • płatności kartą z 3D Secure nie przechodzą, bo ramka autoryzacyjna banku nie chce się otworzyć lub pojawia się błąd połączenia;
  • aplikacja mobilna banku zgłasza „błąd połączenia z serwerem” lub każe wyłączyć „aplikacje zabezpieczające” (pod co podciągnięty bywa VPN).

Do tego dochodzą czasem mniej oczywiste efekty: problemy z autoryzacją przelewów BLIK, brak możliwości dodania urządzenia jako „zaufanego”, nietypowe pytania przy zmianie limitów lub danych kontaktowych. Technicznie wszystko może działać, ale z punktu widzenia użytkownika bankowanie z VPN-em staje się frustrujące.

Dylemat między prywatnością a bezproblemowym dostępem do banku

Z jednej strony chcesz mieć stale włączony VPN: blokuje śledzenie, utrudnia profilowanie, szyfruje ruch w publicznych sieciach Wi-Fi. Idealnie, gdy po prostu „włączasz raz” i zapominasz. Z drugiej strony system bankowy potrafi w takim scenariuszu zachowywać się tak, jakbyś próbował przejąć własne konto z innego kontynentu.

Pojawia się klasyczny konflikt: albo wygoda w dostępie do bankowości internetowej (bez ciągłych blokad i dodatkowych weryfikacji), albo pełna prywatność całego ruchu w sieci. Ręczne wyłączanie VPN za każdym razem, gdy trzeba zrobić przelew, zwykle kończy się tym, że VPN jest wyłączony coraz częściej „na chwilę”, a w praktyce na pół dnia.

Potrzebny jest mechanizm, który pozwala zachować ochronę większości ruchu, a jednocześnie nie przeszkadza systemom bezpieczeństwa banku. Tu właśnie przydaje się split tunneling, czyli dzielenie ruchu na ten idący przez VPN i ten omijający tunel.

Split tunneling jako praktyczny kompromis

Split tunneling pozwala ustawić VPN tak, aby konkretny ruch (np. połączenie z bankiem) omijał tunel i szedł bezpośrednio do internetu, a reszta nadal przebiegała przez szyfrowane połączenie VPN. Dzięki temu:

  • serwery banku widzą twoje „normalne” IP (np. od polskiego dostawcy internetu, tak jak zawsze), więc system antyfraudowy zachowuje się łagodniej;
  • wszystkie inne strony, aplikacje, komunikatory, programy P2P i tak dalej nadal korzystają z VPN i pozostają schowane za jego IP;
  • nie trzeba pamiętać, aby każdorazowo wyłączać i włączać VPN przy korzystaniu z bankowości;
  • ryzyko przypadkowego logowania do banku z egzotycznego adresu VPN spada do zera, jeśli podział jest dobrze skonfigurowany.

To kompromis: rezygnujesz z części prywatności dla jednego konkretnego serwisu (banku), w zamian za stabilne i mniej problematyczne działanie całej bankowości, podczas gdy cały pozostały ruch nadal jest szyfrowany i ukryty za VPN.

Przykład z życia: zdalna praca i częste przelewy

Wyobraź sobie osobę pracującą zdalnie, która ma non stop włączony VPN z powodu dostępu do firmowej sieci i klientów. W tle działają komunikatory, repozytoria kodu, narzędzia do monitoringu. Ta sama osoba często wykonuje przelewy z konta firmowego i prywatnego – do kontrahentów, skarbówki, ZUS-u.

Za każdym razem, gdy loguje się do banku z włączonym VPN, dostaje dodatkowy SMS z weryfikacją, a co jakiś czas bank zawiesza dostęp do konta „do czasu wyjaśnienia nietypowych logowań”. Po włączeniu split tunnelingu bank „przestaje się czepiać”, a jednocześnie wszystkie narzędzia firmowe nadal działają przez VPN, tak jak wymaga tego polityka bezpieczeństwa.

Czym dokładnie jest split tunneling i jakie są jego odmiany

Podstawowa definicja split tunneling

Split tunneling to funkcja w kliencie VPN, która umożliwia podzielenie ruchu internetowego na dwie części:

  • ruch przechodzący przez tunel VPN (szyfrowany i wychodzący z IP serwera VPN),
  • ruch idący bezpośrednio przez lokalne łącze do internetu (z twoim prawdziwym IP, bez pośrednictwa serwera VPN).

Standardowy VPN domyślnie przejmuje cały ruch urządzenia, ustawiając trasę „domyślną” przez tunel. Split tunneling pozwala doprecyzować, co dokładnie ma iść przez tunel, a co ma być z niego wyłączone. Dzięki temu możesz mieć „hybrydę”: część ruchu prywatna i szyfrowana, część „normalna”, jakby VPN w ogóle nie był włączony.

Na poziomie technicznym klient VPN manipuluje tablicą routingu systemu operacyjnego. Dla wybranych adresów IP lub aplikacji ustawia inne trasy niż ogólna, zmienia priorytety i decyduje, którym interfejsem sieciowym wyjdą pakiety.

Dwa główne modele: per aplikacja i per trasa/adres

Split tunneling można zrealizować na dwa zasadnicze sposoby:

  • per aplikacja (app-based) – wskazujesz konkretne programy, które mają korzystać lub nie korzystać z VPN;
  • per trasa/adres (route-based) – wskazujesz adresy IP, podsieci lub domeny, dla których ruch ma omijać tunel lub być przez niego przepuszczany.

Model per aplikacja jest prostszy dla większości użytkowników. W interfejsie klienta VPN wybierasz np. „Chrome” lub „BankApp.exe” jako aplikacje, które mają omijać VPN. Cała ich komunikacja idzie wtedy po „normalnym” łączu.

Model per trasę/adres daje większą precyzję. Nie obchodzi go, z jakiej aplikacji wychodzi ruch – ważne, dokąd zmierza. Możesz ustawić, aby cały ruch do domeny lub podsieci banku omijał VPN, a pozostałe domeny nadal były tunelowane. To szczególnie przydatne przy pracy z wieloma przeglądarkami lub przy korzystaniu z banku przez różne aplikacje.

Różnice w praktyce: wygoda kontra kontrola

Split tunneling per aplikacja:

  • jest bardzo wygodny – po prostu zaznaczasz programy na liście;
  • dobrze się sprawdza, gdy bank ma dedykowaną aplikację (desktopową lub mobilną);
  • w przypadku przeglądarek bywa niewygodny – jedna przeglądarka często służy do wszystkiego (bank, poczta, zakupy, social media).

Split tunneling per adres:

  • umożliwia precyzyjne wydzielenie banku, nawet jeśli korzystasz z niego w tej samej przeglądarce, co z innych serwisów;
  • wymaga znajomości domen i ewentualnie adresów IP banku;
  • jest bardziej wrażliwy na zmiany po stronie banku (zmiany infrastruktury, nowe domeny, CDN).

W praktyce często stosuje się połączenie obu modeli: aplikacja bankowa mobilna jest wyłączona z VPN per aplikacja, a dodatkowo część ruchu do banku w przeglądarce jest wykluczona per domena.

„Odwrócona” wersja split tunneling: tylko wybrane aplikacje przez VPN

Niektórzy producenci VPN oferują tzw. inverse split tunneling lub tryb „tylko wybrane aplikacje przez VPN”. Logika jest odwrócona:

  • domyślnie cały ruch idzie poza VPN,
  • a ty wybierasz konkretne programy, które mają korzystać z tunelu (np. przeglądarka, klient poczty, klient torrent).

Taki model bywa sensowny, jeśli korzystasz z VPN wyłącznie w kilku aplikacjach, a bankowość ma działać „po staremu” bez żadnego kombinowania. W kontekście banku oznacza to po prostu: nie dodajesz aplikacji bankowej do listy „z VPN”, dzięki czemu automatycznie działa ona poza tunelem.

Ten scenariusz ma sens głównie na komputerach z szybkim i zaufanym dostępem do internetu (dom, biuro), gdzie cały ruch poza VPN-em nie stanowi dużego ryzyka. W publicznych Wi-Fi raczej wolisz odwrotną logikę: wszystko za VPN-em poza jednym, świadomym wyjątkiem (np. bankiem).

Techniczne tło: jak klient VPN podejmuje decyzję

Przy włączonym tunelu VPN system operacyjny ma w tablicy routingu wpis, który mówi: „dla większości adresów IP użyj interfejsu VPN jako bramy domyślnej”. Split tunneling dodaje kolejne wpisy:

  • dla określonych adresów IP lub podsieci – użyj interfejsu fizycznego (np. domowy router),
  • dla reszty – nadal używaj interfejsu VPN.

W modelu per aplikacja klient VPN dodatkowo „podsłuchuje”, z jakich gniazd sieciowych i portów korzystają konkretne procesy, i na tej podstawie decyduje, który interfejs zastosować. To warstwa abstrakcji nad tablicą routingu – użytkownik nie widzi skomplikowanych reguł, a jedynie wybiera programy z listy.

Rozumienie tej logiki przydaje się, gdy konfiguracja nie działa od razu. Wtedy wiesz, że problem zwykle leży w złych trasach (route), złej kolejności reguł lub w tym, że jakaś część infrastruktury banku idzie inną domeną/IP, niż ta, którą wykluczyłeś.

Laptop z ekranem VPN na biurku obok sukulentu, online bezpieczeństwo
Źródło: Pexels | Autor: Stefan Coders

Co trzeba przemyśleć, zanim włączysz split tunneling dla banku

Jakich banków i w jakiej formie używasz

Inaczej podejdziesz do konfiguracji split tunnelingu, jeśli korzystasz z jednego polskiego banku, niż jeśli masz kilka rachunków w różnych krajach. Najpierw zrób prostą inwentaryzację:

  • czy logujesz się głównie przez przeglądarkę WWW, czy przez aplikację mobilną banku;
  • czy bank ma dedykowany program desktopowy (rzadziej spotykane, ale nadal istnieje w niektórych instytucjach);
  • czy używasz dodatkowych narzędzi: tokenów USB, aplikacji typu „autoryzator” na komputerze, modułów do podpisu elektronicznego.

Jeśli wszystko odbywa się w jednej przeglądarce, a VPN działa też w tej przeglądarce, najlepiej sprawdzi się split tunneling per adres/domenę. Przy dedykowanej aplikacji bankowej konfiguracja per aplikacja jest szybsza i mniej zawodna.

Trzeba też uwzględnić, czy bank korzysta z osobnych domen do logowania, wyciągów, panelu inwestycyjnego, kart kredytowych, itp. Często te moduły siedzą na innych subdomenach. Przy podejściu per domena warto wykluczyć cały „pakiet” domen banku.

Z jakich urządzeń logujesz się do banku

Lista urządzeń ma bezpośredni wpływ na to, gdzie i jak będziesz konfigurować split tunneling. Najczęstsze scenariusze:

  • Laptop/PC z Windows – najwięcej opcji, wiele komercyjnych VPN-ów ma tu rozbudowany split tunneling;
  • macOS – również przyzwoite wsparcie, ale nie każdy klient VPN oferuje równie zaawansowane funkcje jak na Windows;
  • Linux – wiele zależy od tego, czy używasz graficznego klienta dostawcy, czy „gołego” OpenVPN/WireGuard; często split tunneling realizuje się ręcznie przez trasy;
  • Android – sporo aplikacji VPN ma split tunneling „per aplikacja” wprost w ustawieniach;
  • iOS/iPadOS – możliwości split tunnelingu są mocniej ograniczone przez system, częściej dostępne w rozwiązaniach firmowych niż konsumenckich.

Jeśli korzystasz z banku na kilku urządzeniach, musisz podjąć decyzję: czy split tunneling konfigurujesz wszędzie, czy np. tylko na laptopie, a w telefonie logujesz się do banku na „gołym” łączu, bez aplikacji VPN.

Rodzaj używanego VPN: komercyjny, firmowy, własny

Następne pytanie dotyczy typu VPN:

Charakterystyka VPN komercyjnego

Typowy VPN „dla Kowalskiego” (NordVPN, Proton, Surfshark itd.) daje wygodny interfejs, wiele serwerów i często prosty split tunneling. Kluczowe cechy z perspektywy banku:

  • najczęściej oferuje split tunneling per aplikacja na Windows/Android, rzadziej precyzyjne reguły per domena;
  • zmienia ci IP na zagraniczne lub „podejrzane” (data center), co bywa blokowane przez bank;
  • ruch wychodzi z adresów współdzielonych z innymi użytkownikami – bank może je traktować ostrożnie.

Jeżeli łączysz się do banku z VPN komercyjnego, zwykle kończy się to dodatkowymi pytaniami zabezpieczającymi, blokadą aktywności albo wręcz komunikatem „twoje połączenie wygląda nietypowo”. W takim scenariuszu split tunneling ma sens: bank poza VPN, reszta w tunelu.

VPN firmowy: priorytetem jest polityka bezpieczeństwa

Przy VPN-ie firmowym sytuacja się komplikuje. Tu obowiązuje polityka bezpieczeństwa organizacji, a nie tylko twoja wygoda. Typowe ograniczenia:

  • split tunneling bywa całkowicie wyłączony po stronie administratora (sztywne „force tunnel everything”);
  • cały ruch z urządzenia ma przechodzić przez infrastrukturę SOC, DLP, IDS/IPS;
  • naruszenie polityki (ręczne trasy, „obejścia”) może być złamaniem regulaminu IT.

Jeśli łączysz się z banku na laptopie służbowym z firmowym VPN-em, nie kombinuj z własnoręcznym split tunnelingiem bez rozmowy z działem IT. Rozsądniejszy wariant: bankowość robisz na prywatnym urządzeniu, a firmowy VPN zostawiasz wyłącznie do spraw służbowych.

Własny VPN (np. na VPS lub routerze)

Przy samodzielnie stawianym VPN-ie (OpenVPN, WireGuard na VPS lub routerze z OpenWRT) masz pełną kontrolę nad split tunnelingiem – zarówno po stronie klienta, jak i serwera. Możesz:

  • zdecydować, czy tunel ma być full-tunnel (cały ruch przez VPN), czy split-tunnel (tylko wybrane sieci przez VPN);
  • utrzymywać listę tras i domen banków w jednym miejscu (np. script, plik konfiguracyjny) i dystrybuować ją na wszystkie urządzenia;
  • zastosować bardziej zaawansowane mechanizmy (np. DNS-based split tunneling na routerze).

Z punktu widzenia banku ruch z własnego VPN-a jest mniej „podejrzany” niż z masowego VPN-a komercyjnego, ale nadal może wyglądać inaczej niż ruch domowy. Jeśli stawiasz VPN na routerze domowym, a bank widzi adres IP twojego ISP, problem praktycznie znika – tunel dotyczy wtedy głównie pracy zdalnej, a nie bankowości.

Polityka bezpieczeństwa a twoje zaufanie do VPN

Każdy wyjątek w split tunnelingu jest kompromisem. Żeby świadomie go podjąć, trzeba odpowiedzieć sobie na kilka prostych pytań:

  • czy bardziej ufasz dostawcy VPN, czy sieci, z której korzystasz (hotel, kawiarnia, LTE)?
  • czy twój VPN ma dobrą reputację i transparentną politykę prywatności, czy jest to darmowa aplikacja z przypadkowego sklepu z aplikacjami?
  • czy ruch do banku ma iść poza VPN zawsze, czy tylko w określonych scenariuszach (np. gdy jesteś w kraju zamieszkania)?

Przy darmowych, nieznanych VPN-ach rozsądniej jest nie wypuszczać ruchu bankowego w ogóle przez taki tunel – czyli split tunneling per aplikacja z bankiem poza VPN może być wręcz mniejszym złem. Przy sprawdzonym, płatnym VPN-ie większy sens ma precyzyjna konfiguracja: tylko bank poza tunelem, wszystko inne w pełni zaszyfrowane.

Dodatkowe zabezpieczenia poza VPN

Skoro dopuszczasz, że część ruchu (bank) pójdzie poza VPN, przyda się „plan B” w postaci innych zabezpieczeń:

  • aktualny system i przeglądarka – luki w oprogramowaniu są groźniejsze niż brak VPN;
  • uwierzytelnianie dwuskładnikowe (MFA) w banku – SMS, aplikacja mobilna lub fizyczny token;
  • silne, unikalne hasło do banku, przechowywane w menedżerze haseł;
  • izolacja przeglądarki – osobny profil lub osobna przeglądarka wyłącznie do banku;
  • ostrożność w sieciach publicznych – jeśli musisz korzystać z banku w hotelu lub kawiarni, sensownie jest użyć hotspota z telefonu zamiast Wi-Fi z nieznanego routera.

VPN jest tylko jednym z elementów układanki. Split tunneling to narzędzie, nie magiczna tarcza. Najczęściej najlepiej działa w parze z kilkoma prostymi nawykami bezpieczeństwa.

Model 1 – split tunneling per aplikacja: najprostszy sposób dla zwykłego użytkownika

Kiedy wybrać podejście per aplikacja

Reguły per aplikacja sprawdzają się szczególnie dobrze w kilku sytuacjach:

  • używasz dedykowanej aplikacji bankowej na komputerze (np. do podpisu, tokena, bankowości firmowej);
  • na telefonie masz aplikację VPN i osobno aplikację banku – łatwo wyłączasz jedną z listy;
  • chcesz prostego podziału: „ta przeglądarka z VPN, ta bez VPN”.

Jedno urządzenie, jedna aplikacja bankowa – to najwdzięczniejszy scenariusz. Konfiguracja zajmuje kilka minut, a później o niej zapominasz.

Typowe ustawienia w komercyjnych klientach VPN

W wielu klientach VPN szukaj funkcji o nazwach typu:

  • Split tunneling,
  • App split tunneling,
  • Bypass VPN for selected apps,
  • Only selected apps use VPN (odwrócona logika).

W praktyce wygląda to zazwyczaj tak:

  1. Połącz się z wybranym serwerem VPN.
  2. Wejdź w ustawienia klienta > zakładka „Split tunneling” lub podobna.
  3. Wybierz tryb:
    • „Apps that bypass VPN” – lista aplikacji, które zignorują tunel,
    • lub „Only allow selected apps to use VPN” – tylko wybrane aplikacje idą przez VPN.
  4. Dodaj aplikację bankową lub przeglądarkę, którą chcesz zostawić poza VPN.
  5. Zapisz ustawienia, uruchom ponownie wskazane aplikacje.

Po tej operacji klient VPN przypisze ruch konkretnych procesów do interfejsu „zwykłego” internetu, a resztę pozostawi w tunelu.

Oddzielna przeglądarka do banku jako osobna aplikacja

Jeśli bank masz tylko w przeglądarce, najczyściej działa wariant z dwoma przeglądarkami:

  • przeglądarka A (np. Firefox) – wszystko „cywilne”: poczta, social media, zakupy, przez VPN;
  • przeglądarka B (np. Edge) – wyłącznie bank i ewentualnie ZUS / ePUAP, poza VPN.

W kliencie VPN ustawiasz split tunneling tak, żeby tylko przeglądarka A korzystała z tunelu, a przeglądarka B była w trybie „bypass VPN”. Wtedy nie musisz za każdym razem zastanawiać się, czy dana karta idzie przez VPN czy nie – decyduje sam wybór programu.

Odwrotna logika: tylko wybrane aplikacje w VPN

Niektórzy producenci VPN na Windows czy Androidzie dają tryb, w którym domyślnie nic nie idzie przez VPN, a ty dopisujesz do listy tylko kilka aplikacji (np. jedną przeglądarkę, klienta torrent, aplikację do pracy). W takim układzie bankowa aplikacja mobilna czy desktopowa automatycznie pozostaje poza VPN, o ile jej nie dodasz ręcznie do listy.

To dobre podejście, gdy:

  • VPN używasz głównie do kilku stałych zadań (np. prywatna poczta, praca zdalna);
  • bank ma działać tak, jakby VPN nigdy nie istniał, i nie chcesz w ogóle dotykać jego konfiguracji.

Z technicznego punktu widzenia efekt końcowy jest ten sam: aplikacja bankowa wysyła ruch przez zwykły interfejs sieciowy, a reszta ruchu podlega regułom tunelu.

Kontrola poprawności działania per aplikacja

Po skonfigurowaniu split tunnelingu dobrze jest sprawdzić, czy ruch rzeczywiście rozdziela się tak, jak zakładasz. Prosty schemat testu:

  1. Włącz VPN z włączonym split tunnelingiem.
  2. W aplikacji/ przeglądarce, która ma iść przez VPN, odwiedź serwis typu whatismyip.com – zanotuj adres IP.
  3. W aplikacji bankowej lub przeglądarce „bez VPN” wejdź na ten sam serwis – IP powinno być inne (twoje lokalne/ISP).
  4. Zaloguj się do banku w konfiguracji „poza VPN” i upewnij się, że nie pojawiają się błędy geolokalizacji lub blokady.

Jeśli oba IP są takie same (IP serwera VPN), split tunneling nie zadziałał lub aplikacja nie została poprawnie przypisana do trybu „bypass”.

Osoba przy laptopie z włączonym VPN w nowoczesnej kawiarni
Źródło: Pexels | Autor: Stefan Coders

Model 2 – split tunneling per adres / domenę: precyzyjne wydzielenie banku

Dlaczego podejście per domenę bywa lepsze dla banku

Jeśli używasz tej samej przeglądarki do wszystkiego, rozdzielenie ruchu bankowego „per aplikacja” robi się kłopotliwe. Wtedy sprawdza się split tunneling per adres lub domenę:

  • ruch do konkretnych domen banku (np. mojbank.pl, secure.mojbank.pl) idzie poza VPN;
  • pozostałe strony WWW są nadal tunelowane;
  • nie musisz zmieniać swoich przyzwyczajeń typu „wszystko w jednym Chrome’ie”.

Ten wariant wymaga trochę więcej przygotowania, bo bank rzadko działa na jednej domenie. Do logowania, panelu, kart, inwestycji czy powiadomień często używa kilku subdomen, a czasem też zewnętrznych usług (np. do wideoidentyfikacji).

Jak ustalić domeny i adresy IP banku

Najsensowniej zacząć od krótkiego rozeznania. Minimalna lista kroków:

  1. Wejdź na stronę logowania do banku w „czystej” przeglądarce (bez VPN).
  2. Obserwuj pasek adresu URL podczas logowania i przechodzenia do różnych modułów (historia, przelewy, karta, lokaty).
  3. Zanotuj wszystkie domeny i subdomeny, które pojawiają się w trakcie sesji (np. online.mojbank.pl, secure.mbankservices.com).
  4. Dodatkowo sprawdź w narzędziach deweloperskich przeglądarki (zakładka Sieć/Network), czy jakieś krytyczne zapytania nie idą do innych domen (np. CDN, systemu autoryzacji).

Banki potrafią zmieniać infrastrukturę, więc nie ma sensu wpisywać sztywnych adresów IP. Dużo lepiej trzymać się reguł opartych na domenach (FQDN), jeśli tylko klient VPN to obsługuje.

Rodzaje reguł per adres

W praktyce spotkasz trzy typy reguł:

  • dla całej domeny głównej – np. *.mojbank.pl poza VPN,
  • dla wybranych subdomen – np. secure.mojbank.pl, online.mojbank.pl,
  • dla konkretnych adresów IP lub podsieci – np. 194.XX.YY.0/24.

Najwygodniejszy jest wariant z wildcardem domeny (*.), jednak nie wszystkie aplikacje VPN go wspierają. Jeśli nie ma obsługi FQDN, pozostaje split tunneling po IP – wtedy przy każdej większej zmianie po stronie banku mogą być potrzebne poprawki tras.

Pułapki przy split tunnelingu per domenę

Przy konfiguracji „per adres” pojawia się kilka typowych problemów:

  • CDN i zewnętrzne usługi – część zasobów (skrypty, style, obrazy) może być na zewnętrznych domenach typu cdn.bankassets.com – brak wykluczenia może psuć wygląd lub funkcje serwisu;
  • dodatkowe moduły – np. sekcja inwestycyjna, kantor, biuro maklerskie – często działa na osobnych domenach;
  • zmiany infrastruktury – bank może dodać nową domenę dla SCA (silne uwierzytelnianie), co nagle „psuje” logowanie przez split tunneling.

Dlatego po każdej większej zmianie w serwisie banku (nowy wygląd, migracja aplikacji) dobrze jest przejść jeszcze raz proces logowania i upewnić się, że wszystkie ważne domeny są objęte regułą „poza VPN”.

Przykładowy scenariusz per domena

Załóżmy, że twój bank używa takich adresów:

  • www.mojbank.pl – strona główna,
  • logowanie.mojbank.pl – formularz logowania,

    • Rozszerzanie listy domen krok po kroku

  • www.mojbank.pl – strona główna,
  • logowanie.mojbank.pl – formularz logowania,
  • online.mojbank.pl – panel klienta po zalogowaniu,
  • kantor.mojbank.pl – moduł wymiany walut,
  • inwestycje.mojbank.pl – moduł inwestycyjny.

W takim przypadku minimalny zestaw reguł to:

  • logowanie.mojbank.pl – poza VPN,
  • online.mojbank.pl – poza VPN.

Do tego zwykle dochodzi jeszcze:

  • co najmniej jedna domena do SCA (np. secure.mojbank.pl),
  • czasem zewnętrzny serwis autoryzacji (np. auth.bankgroup.com),
  • osobna domena do biura maklerskiego.

Praktyczny sposób ustawiania takiej listy:

  1. Zrób podstawową listę domen z paska adresu (logowanie, panel, kantor).
  2. Dodaj je do reguł split tunneling „poza VPN”.
  3. Wejdź do banku przez tę samą przeglądarkę, ale już z włączonym VPN + regułami.
  4. Jeśli któryś element nie działa (pusty moduł, problem z autoryzacją), sprawdź w narzędziach deweloperskich, do jakiej domeny idą błędne żądania i dopisz ją do listy.

Po jednej–dwóch takich sesjach konfiguracja zazwyczaj się stabilizuje i wymaga zmian tylko przy większej przebudowie serwisu banku.

Gdzie ustawia się reguły per domena

Większość komercyjnych VPN-ów, które wspierają split tunneling po FQDN, trzyma te ustawienia w jednym z dwóch miejsc:

  • bezpośrednio w panelu klienta VPN (zakładka „Split tunneling”, „Bypass list”, „Exceptions”),
  • w osobnym module typu „Rules” / „Routing rules”, gdzie wskazujesz: domena → interfejs (VPN / zwykłe łącze).

Najczęściej wygląda to tak:

  1. Włącz VPN i upewnij się, że jest aktywne połączenie z serwerem.
  2. Wejdź w ustawienia > sekcja split tunneling / routing.
  3. Wybierz tryb: „Routes that bypass VPN” lub „Domains outside VPN”.
  4. Dodaj poszczególne domeny banku; jeśli klient pozwala – ustaw wildcard *.mojbank.pl.
  5. Zapisz, rozłącz i połącz VPN jeszcze raz, żeby routing się przeładował.

Jeśli klient nie obsługuje domen, a jedynie adresy IP, trzeba dodać trasy po IP w osobnej sekcji (często nazywanej „Advanced routing” lub „Static routes”).

Test działania split tunnelingu per domena

Przy trasowaniu po domenach test jest prosty, ale trzeba sprawdzić kilka rzeczy, nie tylko sam login:

  1. Sprawdź IP przez zwykły serwis typu whatismyip.com w tej samej przeglądarce:
    • na losowej stronie – IP serwera VPN,
    • w zakładce z bankiem – IP twojego operatora.
  2. Przejdź cały proces:
    • logowanie,
    • odebranie kodu SMS / potwierdzenia w aplikacji,
    • sprawdzenie historii,
    • wykonanie drobnego przelewu testowego.
  3. Obserwuj, czy:
    • nie ma nagłego wylogowywania w trakcie,
    • nie pojawiają się komunikaty o podejrzanej lokalizacji,
    • nie „zawiesza się” któryś z modułów (kantor, karta płatnicza).

Jeżeli któryś etap się wysypuje, wróć do listy domen i sprawdź, czy nie pominąłeś jakiegoś hosta (często coś w stylu payments.mojbank.pl albo cards.bankgroup.com).

Kiedy odpuścić split tunneling per domena

Są scenariusze, w których kombinowanie z domenami jest po prostu nieopłacalne:

  • bank ma bardzo rozproszoną infrastrukturę (kilkanaście domen technicznych),
  • klient VPN nie wspiera reguł FQDN i musisz bawić się w tabele IP,
  • serwis banku często się zmienia – co kilka tygodni pojawiają się nowe hosty.

Wtedy zwykle mniej nerwów kosztuje model per aplikacja: osobna przeglądarka „do banku” poza VPN albo – na poziomie całego systemu – trasa dla całego ruchu HTTPS poza VPN, a VPN używany tylko np. przez konkretną przeglądarkę czy aplikacje do pracy.

Konfiguracja split tunneling dla banku w systemie Windows (na przykładzie typowego klienta VPN)

Ogólna koncepcja na Windows

Na Windows typowy układ to:

  • klient VPN instaluje własny interfejs sieciowy (wirtualną kartę),
  • przy połączeniu ustawia domyślną bramę na ten interfejs,
  • split tunneling modyfikuje tablicę tras systemu: część adresów kieruje „starą” bramą, resztę przez VPN.

Konfigurację można zrobić dwiema metodami:

  • wbudowaną funkcją split tunneling w kliencie,
  • ręcznie, z poziomu Windows (trasami statycznymi), jeśli klient nie daje takich opcji.

Przykład: konfiguracja per aplikacja w kliencie VPN na Windows

Scenariusz: korzystasz z komercyjnego VPN-a, który ma split tunneling aplikacyjny (np. Nord, Proton, Surfshark – interfejsy są podobne).

  1. Uruchom klienta VPN jako administrator (często konieczne do modyfikacji tras).
  2. Połącz się z wybranym serwerem w swoim kraju lub za granicą – tak, jak zwykle.
  3. Otwórz ustawienia > sekcja „Split tunneling” lub „App control”.
  4. Wybierz tryb:
    • „Only selected apps use VPN” – polecany, jeśli chcesz mieć pełną kontrolę,
    • albo „Apps that bypass VPN” – gdy tylko pojedyncze programy mają iść poza tunelem.
  5. Dla banku:
    • jeśli masz osobną przeglądarkę „do banku”, dodaj ją do listy bypass (bez VPN),
    • jeśli bank działa w aplikacji desktopowej, wskaż jej plik .exe w katalogu instalacji.
  6. Zapisz zmiany i zamknij panel ustawień.
  7. Uruchom ponownie tylko te aplikacje, które zostały dopisane (przeglądarka, aplikacja bankowa).

Po tym ruch z banku będzie omijał interfejs VPN, nawet gdy tunel jest stale aktywny dla innych programów.

Przykład: konfiguracja per domena w kliencie VPN na Windows

Jeżeli klient obsługuje reguły FQDN, można rozdzielić ruch w ramach tej samej przeglądarki.

  1. Połącz VPN w standardowy sposób.
  2. Wejdź w ustawienia > „Split tunneling” > zakładka „Websites” / „Domains” (nazwy zależą od producenta).
  3. Ustaw tryb „Bypass VPN for these domains”.
  4. Dodaj wszystkie znane domeny banku, np.:
    • mojbank.pl,
    • logowanie.mojbank.pl,
    • online.mojbank.pl,
    • ewentualnie wildcard *.mojbank.pl, jeśli jest taka możliwość.
  5. Zapisz ustawienia; często klient od razu przeładuje trasę, ale bezpieczniej jest:
    • rozłączyć VPN,
    • połączyć się ponownie,
    • otworzyć bank w nowym oknie przeglądarki.

Taki układ pozwala mieć jedną przeglądarkę do wszystkiego: bank widzi twój normalny adres IP, a pozostałe strony – IP serwera VPN.

Ręczny split tunneling w Windows – statyczne trasy dla banku

Kiedy klient VPN jest „uparty” i nie wspiera split tunnelingu, zostają narzędzia systemowe. Na Windows podstawą jest polecenie route oraz znajomość bramy domyślnej twojego łącza.

1. Sprawdzenie bieżącej konfiguracji sieci

Na początku trzeba ustalić dwie rzeczy: swoją bramę lokalną i zakresy adresów banku (jeśli robisz split po IP).

  1. Otwórz PowerShell lub Wiersz polecenia jako administrator.
  2. Wpisz:
    ipconfig
  3. Znajdź aktywną kartę sieciową (zwykle „Ethernet” lub „Wi-Fi”) i zanotuj:
    • adres IPv4,
    • maskę podsieci,
    • bramę domyślną (Default Gateway) – to jest adres routera, np. 192.168.1.1.

2. Identyfikacja adresów IP banku

Jeżeli nie możesz użyć reguł po domenie i musisz pracować na IP:

  1. Na czas tej operacji wyłącz VPN, żeby nie mieszać adresów.
  2. W PowerShell wpisz:
    nslookup logowanie.mojbank.pl
nslookup online.mojbank.pl
  3. Zanotuj zwrócone IP. Często będzie ich kilka (round-robin, CDN). W przykładzie przyjmijmy, że interesuje cię zakres 194.10.20.0/24.

Przy bankach adresy mogą się zmieniać – to rozwiązanie jest bardziej „awaryjne” niż docelowe, ale bywa jedyną opcją przy słabym kliencie VPN.

3. Dodawanie statycznych tras omijających VPN

Gdy VPN się łączy, ustawia swoją bramę jako domyślną. Ideą jest dopisanie trasy, która dla wybranego zakresu IP „przywraca” starą bramę (twój router domowy).

  1. Połącz się z VPN.
  2. W PowerShell (administrator) wpisz komendę w rodzaju:
    route add 194.10.20.0 mask 255.255.255.0 192.168.1.1 metric 1
  3. Parametry:
    • 194.10.20.0 – początek podsieci używanej przez bank,
    • 255.255.255.0 – maska (dla /24),
    • 192.168.1.1 – twoja lokalna brama domyślna (router),
    • metric 1 – priorytet (niższy = preferowana trasa).
  4. Aby trasa przetrwała restart, użyj:
    route -p add 194.10.20.0 mask 255.255.255.0 192.168.1.1 metric 1

Od tego momentu cały ruch do zakresu 194.10.20.0/24 (czyli m.in. do serwerów banku) pójdzie poza VPN, mimo że dla innych adresów domyślną bramą nadal jest interfejs tunelu.

Automatyzacja tras razem z VPN

Ręczne wpisywanie komend po każdym połączeniu szybko męczy. Da się to jednak zautomatyzować dwoma prostymi metodami:

  • skryptem PowerShell uruchamianym ręcznie przed pracą z bankiem,
  • skryptem przypiętym do zdarzenia „połączenie VPN” (jeśli klient ma hooki/skrypty).

Przykładowy prosty skrypt PowerShell

Plik bank-route.ps1 może wyglądać tak:

$gateway = "192.168.1.1"
route -p add 194.10.20.0 mask 255.255.255.0 $gateway metric 1
route -p add 194.10.21.0 mask 255.255.255.0 $gateway metric 1

Następnie:

  1. Zapisz plik skryptu w zaufanym katalogu (np. C:Scriptsbank-route.ps1).
  2. Uruchamiaj go z PowerShell jako administrator po połączeniu VPN.

Podobny skrypt można zrobić do usuwania tras, gdy ich nie potrzebujesz, np.:

route delete 194.10.20.0
route delete 194.10.21.0

Kontrola tablicy routingu w Windows

Przy bardziej rozbudowanej konfiguracji dobrze jest sprawdzić, czy trasy faktycznie są tam, gdzie ich oczekujesz.

  1. W wierszu polecenia (administrator) wpisz:
    route print
  2. W sekcji „IPv4 Route Table” poszukaj wpisów dla adresów banku – powinny mieć „Gateway” równy twojej lokalnej bramie (np. 192.168.1.1), nie adresowi interfejsu VPN.

    3. Najczęściej zadawane pytania (FAQ)

    Dlaczego mój bank nie działa poprawnie, gdy mam włączony VPN?

    Systemy antyfraudowe banków traktują ruch z VPN jak bardziej podejrzany. Widzisz to jako logowanie z innego kraju, z adresu IP współdzielonego przez setki osób, często z zakresów oznaczonych jako „proxy” lub „hosting”. Dla algorytmów to sygnał podwyższonego ryzyka.

    Efekt jest taki, że bank częściej wymusza dodatkowe weryfikacje, zrywa sesje albo w ogóle nie wpuszcza na stronę logowania. Nie chodzi o sam VPN jako taki, tylko o kombinację: nietypowe IP, inne państwo, brak spójności z twoją dotychczasową historią logowań.

    Co to jest split tunneling w VPN i jak działa?

    Split tunneling to funkcja, która dzieli ruch internetowy na dwie części: jedną wysyła przez tunel VPN (szyfrowaną, z IP serwera VPN), a drugą wypuszcza normalnie przez twojego dostawcę internetu (z twoim „prawdziwym” IP). VPN nie przejmuje wtedy całego ruchu, tylko wybrane fragmenty.

    Technicznie klient VPN zmienia tablicę routingu systemu. Dla konkretnych aplikacji, adresów IP lub domen ustawia trasę poza tunelem, a resztę przepuszcza przez VPN. W praktyce możesz zrobić tak, że tylko bank idzie „po staremu”, a cała reszta ruchu nadal jest szyfrowana.

    Jak ustawić split tunneling, żeby bank omijał VPN, a reszta była chroniona?

    Ogólny schemat jest podobny w większości klientów VPN:

    • Włącz VPN i znajdź w ustawieniach opcję „Split tunneling” / „Dzielenie tunelu”.
    • Wybierz tryb: per aplikacja albo per adres/domena.
    • Dodaj aplikację bankową lub domeny banku do wyjątków (tak, aby omijały tunel).
    • Zapisz ustawienia, rozłącz i ponownie połącz VPN, a potem przetestuj logowanie do banku.

    Jeśli używasz przeglądarki do wszystkiego, zwykle lepiej działa tryb per adres/domena – wtedy tylko ruch do banku idzie poza VPN-em, a reszta kart w przeglądarce nadal korzysta z tunelu.

    Czy split tunneling jest bezpieczny przy korzystaniu z bankowości internetowej?

    Z perspektywy banku split tunneling zazwyczaj poprawia sytuację. Bank widzi znane, „domowe” IP, a jego systemy antyfraudowe działają mniej agresywnie. Mniejsze jest ryzyko blokad, podejrzanych alarmów i zrywania sesji.

    Minusem jest to, że ruch do banku nie jest już ukryty za VPN-em. Wciąż jednak chroni go szyfrowanie HTTPS, a ty zyskujesz stabilne działanie bankowości przy jednoczesnej ochronie całej reszty ruchu (poczta, komunikatory, zakupy) przez VPN.

    Lepiej użyć split tunneling per aplikacja czy per adres/domena dla banku?

    Per aplikacja jest wygodniejszy, gdy bank ma osobną aplikację (na komputerze lub w telefonie). Dodajesz jedną pozycję na listę wyjątków i gotowe – cała reszta programów dalej używa VPN.

    Per adres/domena daje większą kontrolę, szczególnie gdy logujesz się do banku z tej samej przeglądarki, z której korzystasz do wszystkiego innego. Ustawiasz wyjątki dla domen banku, a inne strony w tej samej przeglądarce nadal lecą przez tunel. Wymaga to jednak znalezienia i aktualizowania właściwych domen banku, jeśli coś się po ich stronie zmieni.

    Jak rozpoznać, że problemy z bankiem wynikają z włączonego VPN?

    Typowe objawy to m.in. bardzo wolne ładowanie strony logowania, komunikaty o „wygaśnięciu sesji”, ciągłe prośby o dodatkową autoryzację (SMS, potwierdzenia w aplikacji), szybkie automatyczne wylogowania po zalogowaniu czy błędy przy płatnościach 3D Secure.

    Prosty test: wyłącz VPN, odśwież stronę banku i spróbuj ponownie. Jeśli wszystko nagle działa szybko i bez dodatkowych utrudnień, przyczyną jest właśnie tunel VPN. W takiej sytuacji wdrożenie split tunnelingu zwykle rozwiązuje problem bez konieczności całkowitego rezygnowania z VPN.

    Czy każdy VPN obsługuje split tunneling do banku?

    Nie. Funkcja split tunneling nie jest standardem u wszystkich dostawców. Częściej występuje w płatnych usługach VPN i w klientach na Windows/Android; na macOS i iOS bywa ograniczona lub jej brak, zależnie od aplikacji i systemowych restrykcji.

    Jeśli w twoim kliencie VPN nie ma żadnej opcji dzielenia ruchu, masz trzy wyjścia: zmienić dostawcę VPN na taki, który wspiera split tunneling, korzystać z innej przeglądarki bez VPN tylko do banku, albo ręcznie włączać/wyłączać VPN przy logowaniu do banku. Z punktu widzenia wygody i bezpieczeństwa najpraktyczniejszy jest pierwszy wariant.

Poznaj powiązane treści: