Как запретить интернет соединение без vpn?

Question

[mrstrelnick]

Потребность -- запретить подключения к сети, если VPN отключился/сбойнул. Использую wireguard протокол и одноимённый клиент.

1. В Windows Defender Firewall для Domain, Private профилей поставил Outbound connections = Block.
2. Добавил Outbound rule: Action = Allow the connection, Program = WireGuard
3. Отметил свою wifi сеть как Private.

Все новые wifi сети отмечаются по умолчанию Public, а значит для них метод выше не работает. Как быть?

Тут был краткий ответ, который не ясен: Блокировать весь не VPN трафик при помощи фаервола?

Comments

[Ziptar]

Не будет вся эта возня с виндовым определением типа сети работать стабильно.
Ограничения через брэндмауэр осложняются тем, что там всегда запрещающие правила превалируют над разрешающими, поэтому чтобы сделать одно единственное исключение, например, для vpn-шлюза - надо огород городить из нескольких запрещающих правил.
Через маршрутизацию тоже всё плохо; мне, лично, не удалось стабильно работающий blackhole маршрут создать под вин 10.
Проще сторонние решения использовать. ~windows vpn killswitch

[Refguser]

См https://qna.habr.com/answer?answer_id=2433996#answ.... Ключевой момент - V9

Answer 1

[rPman]

Можно поставить настройки роутинга и маршрутизации, не трогая фаервол.
Нужно отключить автоматическую настройку ip адреса, прописав его вручную (уменьшить диапазон dhcp на роутере и использовать адрес из освободившегося) и прописав неправильный шлюз по умолчанию, например эту же машину.

Интернет перестанет работать. Затем добавить route для vpn сервера по его адресу или подсетью, указав верный шлюз

route add ip_адресvpn mask 255.255.255.255
 ip_твой_правильный_шлюз

Таким образом единственно доступный в интернете сервер будет vpn.

При подключении к vpn, будет добавлена маршруты через него, а при отключении вернутся эти неправильные настройки и интернет отключился.

Нормальные роутера позволяют настройку неправильного шлюза провести через dhcp сервер

Answer 2

[Alexey Dmitriev]

Пункт 2 в корне неверен. У вас в Интернет только само приложение wireguard.exe выходит? Так ему интернет для установки VPN соединения и обновления версии нужен и все.

Comments

[mrstrelnick]

Алексей, здравствуйте!
К сожалению, я не знаю нюансов/принципов работы.

Метод работает для wifi сетей, которые отмечены в Windows как Private. Отключаю VPN -- в браузере нет доступа к сети, включаю VPN -- в браузере доступ к сети появляется. Метод взял отсюда:
Источник 1 -- https://www.youtube.com/watch?v=U55M18nvd8s
Источник 2 -- https://celo.net/members/index.php/knowledgebase/7...

Если знаете, как относительно несложно я могу закрыть мою потребность (избежать утечки IP адреса при сбое VPN) на Windows 11, поделитесь мудростью, пожалуйста.

[Alexey Dmitriev]

mrstrelnick, вам нужно поставить политику по умолчанию на выход в Block, а затем создать следующие разрешающие правила:
1. Разрешить wireguard открывать и поддерживать соединение с VPN сервером (если не хотитет утечки DNS - то нужно использовать ip).
2. по какому-либо критерию (локальный ip, тип интерфейса и т.п.) разрешить выход в интернет только для трафика, проходящего через сетевой адаптер wireguard.
3. Остальные разрешающие правила на выход нужно выключить\оставить только те, что не приведут к утечке.

[mrstrelnick]

Alexey Dmitriev, позвольте уточнить, пожалуйста:

0. "политику по умолчанию на выход в Block" -- т.е. в Windows Defender Firewall для Public профилей поставить Outbound connections = Block?
1. Outbound rule: Action = Allow the connection, Program = WireGuard, IP = ip_адрес_впнсервера ?
2. Это как?
3. Это все правила стандартные (коих очень много) нужно выключить?

[Alexey Dmitriev]

mrstrelnick, прошу прощения, но я не планирую вам разжевывать все.
Можете воспользоваться ответом от уважаемого rPman - его реализация проще.