Можно ли заблокировать определенный сайт при включенном openvpn?

Question

[genibeni]

Подскажите пожалуйста, возможно ли заблокировать определенный сайт например youtube.com при включенном openvpn, то есть как только openvpn включен на youtube.com нельзя было зайти? Если это возможно подскажите пожалуйста как можно это реализовать.

Answer 1

[AlexVWill]

Да, это можно сделать, но нетривиально, пустив DNS запросы в OpenVPN через собственный DNS сервер, на котором будет запрет на использование некоторых web-сервисов, например в качестве такого DNS сервиса можно настроить AdGuard Home или PiH-ole. Но все это работает с некоторыми ограничениями:
1) Клиент может у себя настроить DNS маршруты сам, и тогда то, что я написал выше не сработает
2) Если у клиента есть IP сервиса, то он сможет достучаться до нужного ресурса всеравно.

Comments

[res2001]

Дополню немного.
Если ВПН сервер прописывается на клиенте шлюзом по умолчанию, то весь трафик будет проходить через ВПН сервер и там можно с ним делать все что угодно.
Описанный вариант - всего лишь один из возможных.
Проще всего блокировать определенный трафик на фаерволе ВПН сервера.
Но как и в ответе - клиент может со своей стороны сам изменить шлюз по умолчанию (например вернуть тот, что был до подключения), или добавить маршруты до нужных сервисов в обход ВПН.

[genibeni]

res2001, а можете пожалуйста чуть подробнее рассказать как блокировать через фаервол? Где-то слышал но не совсем разобрался как это сделать.

[AlexVWill]

genibeni,

как блокировать через фаервол

По всей вероятности речь идет об iptables
https://losst.ru/kak-zablokirovat-ip-v-iptables
Не самая удачная идея, если честно, т.к. работает это только через ip, значит надо иметь базу всех этих ip и регулярно следить за их изменениями. Ну и не следует забывать, что у одного ресурса их может быть много, у одного только facebook из под сотню.
Так что единственный верный и более-менее рабочий вариант это блокировка DNS запросов, т.к. DNS запрос оперирует не ip, а доменным именем (и возвращает ip).

[genibeni]

AlexVWill, по вашему мнению что лучше настроить AdGuard Home или PiH-ole и что легче в использовании, в настройке?

[res2001]

genibeni, Согласен, блокировать фаерволом крупные домены типа youtube довольно утомительно.
В интернете есть сервисы whois - там вы можете узнать для любого публичного домена его диапазоны адресов.

Для мелких доменов вариант с фаерволом вполне рабочий, а кроме того, наверное, самый простой и не требует дополнительного ПО.

Другой вариант - использовать прозрачный прокси.

В общем альтернативы есть. Выбор зависит от ваших хотелок и возможностей. Возможно, стоит начать с того чтоб определить для себя чего вы хотите от ВПНа. Возможно вам просто не стоит ВПН клиентов выпускать в интернет через ВПН сервер.

[AlexVWill]

genibeni, примерно одинаково, но AdGuard по моему полегче в освоении...

[genibeni]

AlexVWill, извините пожалуйста, не могли бы вы подсказать, поставил Pi-hole через команду: curl -sSL https://install.pi-hole.net | bash
в server.conf вписал эту строку: push "dhcp-option DNS [ip сервера]" и когда включаю впн, не получается зайти на какой либо сайт, в чем может быть проблема?

[AlexVWill]

genibeni, я Pi-Hole использовал пару лет назад, сейчас уж не помню как его настраивать надо. Установи лучше AdGuard, я по нему смогу помочь, т.к. сам его держу сейчас на своих серверах.
Для собственного DNS сервера надо еще 53 порт открыть для VPN подсети, например если у тебя сервер с IP 10.100.0.1, то надо 53 порт открыть для 10.100.0.0/24
и 80 порт для web-морды DNS сервера.

[genibeni]

AlexVWill, установил AdGuard, зашел в панель, все работает вроде днс сменился, во вкладке custom filtering rules ввел это: ||youtube.com^ но все равно на ютуб заходит, может что-то неправильно? И странно то что с Pi-hole сайты не открывались...

[genibeni]

AlexVWill, и еще хотел спросить вас, в главном меню где Top Clients виден настоящий ip нормально ли это по безопасности? P.S возможно вопрос некорректный, но все же...

[AlexVWill]

genibeni,

ввел это: ||youtube.com^ но все равно на ютуб заходит,

все проще

spoiler

и еще хотел спросить вас, в главном меню где Top Clients виден настоящий ip нормально ли это по безопасности?

ващет там должны быть видны ip VPN клиентов, для безопасности ничего страшного в этом нет, т.к. к серверу то всеравно у тебя только доступ, только не забудь пароль посерьезнее поставить... ну или web интерфейс открыть только для VPN клиентов

И странно то что с Pi-hole сайты не открывались...

без понятия, там может быть масса причин, я с него перешел потому что мне нужен был DoH сервер, а с Pi-Hole в этом плане были какие то проблемы, сервер падал постоянно...

[genibeni]

AlexVWill, даже так на ютуб заходит, а если например другие сайты которых в списке нет, то правильно ли вписывать: ||domain.com^?

[AlexVWill]

genibeni, если у тебя виден в клиентах не IP от VPN, а реальный IP, то значит на DNS сервер заходян не через VPN, а напрямую.
В настройках сервера посмотри, есть ли
push "dhcp-option DNS 10.66.0.4" где IP - адрес твоего VPN сервера (внутренний).
https://openvpn.net/community-resources/pushing-dh...
Ну или в свойствай VPN соединения клиента ради теста поставь в качестве DNS внутренний адрес сервера.

Дай на сервере команду
sudo netstat -tulpn
и покажи сюда вывод

[genibeni]

Вывод:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      443/sshd: /usr/sbin 
tcp6       0      0 :::80                   :::*                    LISTEN      20820/AdGuardHome   
tcp6       0      0 :::53                   :::*                    LISTEN      20820/AdGuardHome   
tcp6       0      0 :::22                   :::*                    LISTEN      443/sshd: /usr/sbin 
udp        0      0 0.0.0.0:1194            0.0.0.0:*                           27946/openvpn       
udp6       0      0 :::53                   :::*                                20820/AdGuardHome

Поменял ip на внутренний ютуб заблокировался, но сайты который заблокировал через команду вручную они не блокируются хотя в логах показывает что блокирует, и теперь вроде как уже не через реальный ip

[AlexVWill]

genibeni, ну, судя по тем портам, которые к тебя слушаются, все работает верно. Единственное, я бы закрыл 80 порт от всего, кроме подсети VPN, тогда в консоль AdGuard можно будет зайти только из VPN.

о сайты который заблокировал через команду вручную они не блокируются хотя в логах показывает что блокирует, и теперь вроде как уже не через реальный ip

Локальный DNS кэш не обновился, попробуй отключить клиента от VPN и снова подключить.

[genibeni]

AlexVWill, да действительно перезапустил впн, теперь заблокировались, а закрыть 80 порт не подскажите как? Спасибо большое!

[AlexVWill]

genibeni,

а закрыть 80 порт не подскажите как?

а как ты его открывал? через UFW?
покажи
sudo ufw status numbered

[genibeni]

AlexVWill, вы имеете ввиду закрыть через: sudo ufw deny 80?

[ 1] OpenSSH                    ALLOW IN    Anywhere                  
[ 2] 1194/udp                   ALLOW IN    Anywhere                  
[ 3] 22                         ALLOW IN    Anywhere                  
[ 4] 1194                       ALLOW IN    Anywhere                  
[ 5] 80                         ALLOW IN    Anywhere                  
[ 6] 53                         ALLOW IN    Anywhere                  
[ 7] 24                         ALLOW IN    Anywhere                  
[ 8] 8                          ALLOW IN    Anywhere                  
[ 9] 443                        ALLOW IN    Anywhere                  
[10] 3000                       ALLOW IN    Anywhere                  
[11] OpenSSH (v6)               ALLOW IN    Anywhere (v6)             
[12] 1194/udp (v6)              ALLOW IN    Anywhere (v6)             
[13] 22 (v6)                    ALLOW IN    Anywhere (v6)             
[14] 1194 (v6)                  ALLOW IN    Anywhere (v6)             
[15] 80 (v6)                    ALLOW IN    Anywhere (v6)             
[16] 53 (v6)                    ALLOW IN    Anywhere (v6)             
[17] 24 (v6)                    ALLOW IN    Anywhere (v6)             
[18] 8 (v6)                     ALLOW IN    Anywhere (v6)             
[19] 443 (v6)                   ALLOW IN    Anywhere (v6)             
[20] 3000 (v6)                  ALLOW IN    Anywhere (v6)

[AlexVWill]

genibeni,

sudo ufw delete 5
sudo ufw allow from 10.100.0.0/24 to 10.100.0.1 port 80

где 10.100.0.0/24 - твоя подсеть VPN
а 10.100.0.1 внутренний адрес VPN сервера

Потом дай еще раз sudo ufw status numbered и для IPv6 тоже правило удали
Кстати, если у тебя нет на сервере web-сервера, то я бы и 443 порт удалил, и 8, 24 и 3000 порт у тебя для чего то открыты (зачем? их же никто не слушает).

[genibeni]

AlexVWill, извиняюсь, а как можно найти подсеть VPN?

[genibeni]

AlexVWill,

Кстати, если у тебя нет на сервере web-сервера, то я бы и 443 порт удалил, и 8, 24 и 3000 порт у тебя для чего то открыты (зачем? их же никто не слушает).

открывал уже все порты для того чтобы заставить Pi-hole работать... :)

[AlexVWill]

genibeni,

извиняюсь, а как можно найти подсеть VPN?

cat /etc/openvpn/server/server.conf
строка server 10.100.0.0 255.255.255.0
значит подсеть 10.100.0.0/24

[genibeni]

AlexVWill,

[ 1] OpenSSH                    ALLOW IN    Anywhere                  
[ 2] 1194/udp                   ALLOW IN    Anywhere                  
[ 3] 22                         ALLOW IN    Anywhere                  
[ 4] 1194                       ALLOW IN    Anywhere                  
[ 5] 53                         ALLOW IN    Anywhere                  
[ 6] 24                         ALLOW IN    Anywhere                  
[ 7] 8                          ALLOW IN    Anywhere                  
[ 8] 443                        ALLOW IN    Anywhere                  
[ 9] 3000                       ALLOW IN    Anywhere                  
[10] 10.8.0.1 80                ALLOW IN    10.8.0.0/24               
[11] OpenSSH (v6)               ALLOW IN    Anywhere (v6)             
[12] 1194/udp (v6)              ALLOW IN    Anywhere (v6)             
[13] 22 (v6)                    ALLOW IN    Anywhere (v6)             
[14] 1194 (v6)                  ALLOW IN    Anywhere (v6)             
[15] 53 (v6)                    ALLOW IN    Anywhere (v6)             
[16] 24 (v6)                    ALLOW IN    Anywhere (v6)             
[17] 8 (v6)                     ALLOW IN    Anywhere (v6)             
[18] 443 (v6)                   ALLOW IN    Anywhere (v6)             
[19] 3000 (v6)                  ALLOW IN    Anywhere (v6

но без впна все еще заходит

[AlexVWill]

genibeni, напиши тут адрес хоста или ip (потом можешь удалить).

[AlexVWill]

sudo nano /home/user/AdGuardHome/AdGuardHome.yaml
в первой строке
bind_host: 10.8.0.1
bind_port: 80
потом
sudo systemctl restart AdGuardHome

[genibeni]

AlexVWill, все равно не заходит, единственное что изменил это в /opt/AdGuardHome/AdGuardHome.yaml

[AlexVWill]

genibeni, хм, странно, вроде все настроено верно...
А ты

sudo ufw disable
sudo ufw enable

Делал? Попробуй рестартануть сервак. Если не поможет, верни тогда 80 порт,
sudo ufw allow 80
надо будет думать, что не так...

[genibeni]

AlexVWill, да делал, но также, сейчас вернул 80 порт, но все равно не грузит...

[genibeni]

AlexVWill, P.S в /opt/AdGuardHome/AdGuardHome.yaml вернул как было, теперь грузит