Как в Ubuntu 20.04 сделать выход в интернет ТОЛЬКО через VPN?

Question

[Роми]

Иногда VPN отваливается, и тогда внешние сервисы видят мой подлинный звериный оскал :-D

Как сделать, чтобы пакеты не шли вовсе, если VPN случайно отвалился?

Спасибо

Answer 1

[AlexVWill]

Cамый простой вариант который в голову приходит, это поставить UFW и закрыть все исходящие порты на все соединения, кроме VPN сервера...
Вариант посложнее - это настроить маршрутизацию, т.е. убрать default шлюз на роутер

default via 192.168.1.1 dev enp3s0 proto dhcp metric 100

к примеру (смотреть как у тебя там настроено), и оставить только VPN шлюз

default via 10.100.0.5 dev tun0 proto static metric 50

Comments

[Роми]

а UFW - насколько это надежно в том смысле, что сам UFW отвалиться не может? -)

пока что из всего описанного здесь - это самое понятное мне решение, наверное так и сделаю.

[AlexVWill]

Роми, UFW это надстройка над iptables, если и отвалится - то только с ядром системы

[Роми]

(смотреть как у тебя там настроено)

а где именно и как смотреть?

[AlexVWill]

Роми, подключить VPN и посмотреть
ip r

[Роми]

AlexVWill, мне чатГПТ посоветовал:

sudo route del default via 192.168.1.1 dev wlp2s0

(это на основании вывода ip r) -- но сказал что могут отвалиться какие-то еще сети.

а можно ли как-то не удаляя, просто закоментить это и все? чтобы если что потом раскоментить обратно?)

[Alexey Dmitriev]

AlexWill ваш второй совет заблокирует возможность поднять VPN

[AlexVWill]

Alexey Dmitriev, Да, ты прав, это я вчера не подумавши написал, поздно уже было, подустал...
Щас посмотрел, наверное с маршрутами не стоит вообще заморочек, просто через файрвол сделать
Если VPN настроен по IP сервера, а не по домену, и висит на каком то сетевом интерфейсе вроде tun0, проще всего сделать так:

sudo iptables -I OUTPUT -j DROP
sudo iptables -I OUTPUT -d 123.123.123.123 -j ACCEPT
sudo iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -I OUTPUT -p udp --sport 53 -j ACCEPT
sudo iptables -I OUTPUT -o tun0 -j ACCEPT

Первое правило дропает все пакеты, не соответствующие фильтру (в очереди оно будет последнее), второе - разрешает установление с VPN по IP его сервера, третье и четвертое разрешает DNS туда-сюда, пятое разрешает все соединения через сетевой интерфейс VPN. Остальные правила для локальных соединений (Sambа в локальной сети и пр.) добавить по вкусу. Ну и добавить сохранение таблиц при перезагрузке.
Проверил, работает...
Должно быть как то так:

spoiler

alex@alex-ubuntu:~$ sudo iptables -L -n -v
Chain INPUT (policy ACCEPT 613 packets, 273K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  273 49582 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0           
   49  5860 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53
   59  4355 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
  300 76908 ACCEPT     all  --  *      *       0.0.0.0/0            123.123.123.123     
  132 13444 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

[Роми]

AlexVWill,

Если VPN настроен по IP сервера, а не по домену, и висит на каком то сетевом интерфейсе вроде tun0

вот содержимое .ovpn

client
dev tun
proto udp
remote 193.123.ХХХ.ХХХ 1294
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3
// дальше идут сертификаты всякие...

[Роми]

AlexVWill, спасибо большое! А можно ли как-то и DNS тоже через VPN направить?

вот это:

sudo iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -I OUTPUT -p udp --sport 53 -j ACCEPT

оно вообще обязательное?

[AlexVWill]

Роми, если в настройках VPN соединения указать нужный DNS, например VPN сервера 10.100.0.1 - то DNS запросы туда и пойдут.

spoiler

[Роми]

AlexVWill,

если в настройках VPN соединения указать нужный DNS, например VPN сервера 10.100.0.1 - то DNS запросы туда и пойдут.

то есть там, кроме OpenVPN еще и нэймсервер поднимать придется, или как?

я просто не понимаю, почему трафик DNS нужно как-то обслуживать особым образом :-/

и да, если

если в настройках VPN соединения указать нужный DNS, например VPN сервера 10.100.0.1 - то DNS запросы туда и пойдут.

как на картинке, тогда команды

sudo iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -I OUTPUT -p udp --sport 53 -j ACCEPT

не нужны?

или они в любом случае нужны?

поймите, моя цель: не спалить мое местонахождение ни при каких раскладах.

например, у меня в VSC стоят плагины к сетевым сервисам, которым совсем ни к чему знать где именно я нахожусь.

[AlexVWill]

Роми, не вижу особой проблемы, у тебя же на роутере отключен Peer DNS, чтобы провайдеровские DNS не лезли, надеюсь? Настрой дополнительно DNS на гуглевские 8.8.8.8 или на 1.1.1.1 на основном сетевом интерфейсе если на VPN сервере свой DNS не поднят и не смотрит наружу, и будет тебе счастье...

Answer 2

[Maksim Herasim]

VPN где на убунте или на роутере?
Если на убунте, как вариант попробовать завернуть весь трафик через route через vpn шлюз, и запретить остальное, в таком случае если шлюз будет недоступен, то и в интернет не прогуляешься.

Comments

[Maksim Herasim]

Второй вариант через iptables разрешить трафик только через vpn шлюз. Я правда не знаю, сейчас может уже не iptables а что ьо другое

[Роми]

Maksim Herasim, для меня и то и другое звучит как китайская грамота -) а можно пошагово, хотя бы очень кратко?

[Роми]

VPN где на убунте или на роутере?

на Убунте, в системе, запускаю через "импортировать файл настроек"

[Maksim Herasim]

Роми, выше уже дали команды. В целом можно было загуглить как прописать деыолтнве маршруты и запретить остальное. Ваши маски подсети неизвестны, поэтому команды для я не писал