Можно ли частично (выборочно) заблокировать доступ в интернет при выключенном VPN?

Question

[Константин Мельников]

В данный момент использую NekoBox что бы направлять трафик некоторых доменов и приложений (например Steam) через VPN сервер.

А можно ли как то сделать, что бы к некоторым доменам и/или приложениям БЛОКИРОВАЛСЯ доступ в интернет, если VPN НЕ запущен? На смартфоне с root есть программы что умеют так делать. А на ПК?

В NekoBox настроен "кастомный" маршрут:

{
    "rules": [
        {
            "outbound": "proxy",
            "process_name": [
                "steam.exe",
                "steamservice.exe",
                "steamwebhelper.exe"
            ]
        },
        {
            "domain_suffix": [
                "steamcommunity.com",
                "steampowered.com"
            ],
            "outbound": "proxy"
        }
    ]
}

И вот этот самый кастомный маршрут должен блокироваться "если ВПН не запущен".

Answer 1

[Константин Мельников]

Спасибо доброму человеку Zil1 что написал очень подробную инструкцию как решить мою проблему в этом комментарии ( Как заблокировать домен/программу так, что б запуск ВПН отменял эту блокировку? )

Тут я дублирую его ответ что бы отметить вопрос решенным

Итак. Я использовал ВПН клиент NekoBox и протокол Shadowsocks
В дополнение к этому нужно установить программу https://github.com/netchx/netch
А так же расширение браузера ZeroOmega (если используете Chrome как и я)

В NekoBox нужно вернуть настройки маршрутов к значению по умолчанию, если они были изменены. Так же нужно выключить режим TUN если он был включен. А лучше переустановить NekoBox с нуля

Другими словами удаляем NekoBox, ставим его заново, добавляем свой конфиг Shadowsocks, запускаем его и все Больше ничего с NekoBox делать не нужно, его настройка полностью завершена

Теперь переходим к настройке Netch. Тут нужно настроить SOCKS сервер


Ничего сложного, нужно заполнить только первые две строки, имя (любое) и IP : Порт из NekoBox
Остальные строки трогать не нужно


Следующим шагом нужно выбрать "Mode" из списка предустановленных или создать свой (Вкладка Mode >> Create Process Mode). Mode это настройка маршрутизации наподобие той что была в NekoBox. В предустановленных правилах уже есть Steam, можно использовать его, или создать на его основе своё прописав всё что нужно. Можно указать IP адреса, названия *.exe приложений, пути до приложений или до папки с приложениями. Интернет трафик всего что вы укажите в Mode, будет пропускаться через VPN NekoBox. Если же NekoBox не запущен, доступ в интернет указанным приложениям будет заблокирован


В целом это все что нужно. Можете еще текущий профиль с понятным названием, или сделать несколько для быстрого переключения, если нужно. Кнопка "Start" запускает процесс перенаправления. Теперь трафик ресурсов прописанных в выбранном Mode будет идти исключительно через NekoBox, или блокироваться если ВПН не подключен

Последний важный шаг, это настройка автозапуска Netch и NekoBox


C настройкой клиента Steam окончено. А что если мы откроем сайт Steam в браузере? Netch к сожалению не умеет работать напрямую с сайтами. Разве что весь браузер Chrome.exe прописать, но это перебор. Нужен избирательный метод

Для этого в браузер нужно поставить расширение ZeroOmega

https://chromewebstore.google.com/detail/proxy-swi...
После установки расширения заходим в его настройки, и добавляем профиль, почти так же как в Netch


А потом в разделе auto switch настраиваем маску доменов, которые должны открываться через NekoBox


В конце переходим на нужный сайт, и включаем режим auto switch в расширении


На этом вроде бы все. В итоге

Мы направляем трафик сайта Steam и клиента Steam через NekoBox. А если NekoBox не подключен к ВПН серверу, или банально даже не запущен, то ни сайт ни клиент не подключится к интернету. Именно это я и хотел сделать когда задавал свой вопрос, но не знал как этого добиться...

З.Ы. Альтернативный вариант для программ на ПК. Вместо Netch, с которым у меня лично были проблемы (не всегда срабатывал автозапуск), можно использовать ProxiFyre (Не путать с ProxiFire !!!). Минус в том что это консольное приложение без графического интерфейса, а плюс в том что его можно запустить как службу. У служб должно быть меньше проблем с автозапуском

Итак, в целом инструкция об установке взята со страницы проекта - github.com/wiresock/proxifyre
Но я переведу ее на русский

Перед установкой ProxiFyre нужно сначала установить Windows Packet Filter и Visual Studio Runtime Libraries 2022 года. Для этого посещаем страницу github.com/wiresock/ndisapi/releases а затем learn.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170 и качаем установщики ARM64, 32-bit (x86) или 64-bit (x64) в зависимости от того какая у вас система. Качать все 3 версии не нужно, только одну. Установка этих программ примитивная, установщики сделают все сами.

Затем качаете сам ProxiFyre со страницы релизов - github.com/wiresock/proxifyre/releases
Там так же три версии, выбираете нужную. Получаете просто архив с программой который нужно распаковать. Я не уверен, но обычно для подобных программ рекомендуют использовать пути без пробелов и русских букв.

После распаковки в папке с программой нужно создать конфиг файл - app-config.json
Затем открыть его блокнотом и вписать что-то вроде этого:

{
 "logLevel": "Error",
 "proxies": [
   {
     "appNames": ["C:\\Program Files (x86)\\Steam", "C:\\Program Files (x86)\\Common Files\\Steam", "msedge.exe"],
     "socks5ProxyEndpoint": "127.0.0.1:2080",
     "supportedProtocols": ["TCP", "UDP"]
   }
 ],
 "excludes": [
   "C:\\Program Files (x86)\\Steam\\steamapps\\common"
 ]
}

"logLevel": "Error" - отвечает за то, какие записи сохранять в логе, Error - только ошибки.
Другие варианты Warning, Info, Debug, All. Если изменить на All то каждый лог файл может занимать по 100 МБ и больше

В строке appNames указаны папки и программы, трафик которых следует направлять через VPN (NekoBox)
"C:\\Program Files (x86)\\Steam" - значит что через VPN будет направляется трафик всех программ в этой папке
"msedge.exe" - значит что через VPN будет направляется трафик браузера Edge. Я использую его что бы проверить работает ли программа. Если VPN выключен то Edge не сможет получить доступ в интернет

"socks5ProxyEndpoint": "127.0.0.1:2080" это тот же IP и Порт из NekoBox, точно так же как я делал в Netch

"supportedProtocols": ["TCP", "UDP"] - это протоколы к которым следует применять правило, я выбрал оба

"excludes": ["C:\\Program Files (x86)\\Steam\\steamapps\\common"] - исключение. Указанная строка означает что трафик программ (игр) из папки common не нужно направлять через VPN. Вместо адреса папки там так же можно указывать названия.exe приложений

И на этом все, сохраняем файл и запускаем ProxiFyre.exe от имени админа. Если консоль программы открылась и осталась открытой, значит все работает. Но что бы не запускать программу каждый день вручную, ее можно превратить службу которая сама будет запускаться при старте ПК. Но для этого нужно вводить команды консоли

Сначала запустите консоль (CMD) от имени админа
Пропишите команду cd папка_с_программой
Где "папка_с_программой" это путь куда вы распаковали ProxiFyre

Следующая команда
ProxiFyre.exe install

Затем
ProxiFyre.exe start
Что бы запустить службу

Теперь служба каждый раз должна запускаться при старте ПК

Так же есть команады "ProxiFyre.exe stop" и "ProxiFyre.exe uninstall" что бы остановить или удалить службу

Answer 2

[Disel0k]

Пропишите явно маршруты через удаленный шлюз. Нет шлюза нет доступа, вернулся шлюз - вернулся доступ

Comments

[Константин Мельников]

Можно конкретней, как? Через NekoBox это можно сделать или нужен другой софт?

[Disel0k]

открыть консоль и прописать route add адрес_куда MASK маска адрес_шлюза

[Константин Мельников]

Disel0k, давай попробуем разобраться:
адрес_куда (destination_network) — сетевой адрес или IP-адрес, к которому маршрутизатор должен направить пакет. Например, 192.168.0.0 ,
MASK — ключевое слово, указывающее на начало параметра маски подсети ,
маска (subnet_mask) — маска подсети для указанного маршрута. Например, 255.255.0.0 ,
адрес_шлюза (gateway_ip) — IP-адрес маршрутизатора (шлюза), на который нужно отправить пакет для достижения указанной сети. Например, 192.168.50.1 .

Пример полной команды: route add 192.168.0.0 MASK 255.255.0.0 192.168.50.1

Но я не понимаю что мне нужно указывать в "адрес_куда" и "адрес_шлюза". Мне из конфига вепене эти адреса брать? В конфиге впн у мня есть IP адрес, порт, шифрование и пароль. Как сопоставляются данные из впн с этой командой?

[pfg21]

Константин Мельников, адрес куда это ип удаленного сервера, к примеру Steam.
маска - это пространство захватываемых адресов.
это все условия выбора пакетов из потока
далее идет функция, т.е. что с выбраными пакетами делать - послать эти пакеты на "адрес шлюза" это ип-адрес твоего шлюза.
смотри какое сетевое соединение создает твой некобокс и вписывай этот адрес.

[Константин Мельников]

pfg21, ну так я не знаю IP адрес стима, к тому же сомневаюсь что он у него всего один, наверняка их целая куча.
Если под "сетевым соединением" ты подразумеваешь сетевой адаптер, например Famatech Radmin VPN Ethernet Adapter, то нет. NekoBox не создает отдельный сетевой адаптер.



А если речь про IP адрес из конфига NekoBox, то там 213.183.56.86

[Константин Мельников]

pfg21, вот допустим для теста я хочу заблокировать доступ к сайту qna.habr.com
В интернете я такое нагуглил

Значит нужно прописывать что-то в этом роде?

route add 178.248.233.33 MASK 255.255.255.0 213.183.56.86

Видимо нет

[Zerg89]

Disel0k, Константин Мельников,

открыть консоль и прописать route add адрес_куда MASK маска адрес_шлюза

а с dns адресами так не прокатит ip изменился и полетели пакеты в другой ip
Но он почти правильно сказал только забыл про то что это надо через access list делать чтобы domain address динамически отражался в правиле файрвола

[Zerg89]

Константин Мельников,

А на ПК?

а на пк есть не nekobox( управление непонятно чем и какие правила(маршруты) он при этом создает), а firewall который умеет это делать, в линуксе точно умеет, в виндонс вроде тоже но не уверен не тестировал работу с domain address в настройках правила

[Константин Мельников]

Zerg89, а твой firewall умеет менять IP скрывая мой настоящий? Если нет то зачем ты предлагаешь менять впн клиент на фаервол который выполняет совсем другие функции?

[Константин Мельников]

Zerg89, опять же, где как делать через access list? Это можно сделать в ванильном брандмауэре от винды, или в host файле, или софт какой то отдельный ставить по типу Comodo Firewall? Для меня это все как эльфийский язык.

Я ковырялся в брандмауэре винды когда настраивал одиночные сессии в GTA Online, и не помню там ничего динамического.

[Константин Мельников]

Zerg89, если ты не понимаешь вопрос то может и отвечать не стоит? Почему я сейчас должен гуглить что за команды вы мне пишете, как их применять да что такое access list, а вы, отвечая мне с умным видом не можете потратить минуту что бы прочитать про nekobox

Если вы даже этого не знаете то как вы можете мне помочь?

[Daemon23RUS]

Константин Мельников,

а твой firewall умеет менять IP скрывая мой настоящий? Если нет то зачем ты предлагаешь менять впн клиент на фаервол который выполняет совсем другие функции?

Ууу как печально у Вас с восприятием реалий окружающего Вас мира, оборудования и ПО. И вариантов тут 2 либо хотя бы по вершкам понять RFC 793/791 (в успехе лично я сомневаюсь) либо и дальше считать, что пакеты через ВПН доставляют розовые пони, а маршруты указывают единороги ...
Zerg89 отправил Вас в верном направлении, но с Вашей реакцией - это не Ваш путь ...

[Константин Мельников]

Daemon23RUS, верное направление заменить впн на брандмауер? Или верное направление использовать access list там не знаю где? Я намеки не понимаю, как и пустую болтовню вроде твоего комментария. Или отвечай по делу или проходи мимо.

Ты хоть бы почитал комментарии перед там как воду лить. Пока вы не пришли я делал все что мне советовали, в меру своих сил. А что по итогу? Один советчик советовал то что не работает, второй вообще не понял вопроса. Третий говорит намеками а ты воду льешь. Зачем вы вообще пишите эти комментарии?

[Zerg89]

Константин Мельников, а мне и не надо читать про очередную надстройку над iptables, я и так представляю как она работает (не так как мне в итоге надо)
Если вам надо именно этим инструментом пользоватся будте добры разобратся в нем сами
В linux iptables это будет примерно так

IPTABLES -A OUTPUT -d $(dig +short steamcommunity.com | head -n 1)  -o !tap0 -j DROP

Обьясняю лигику iptabless -a добавить правило
-d $(dig +short steamcommunity.com | head -n 1)
Куда этот трафик направлен читаем из dns кеша и получаем текущий ip адресс на который направлен трафик
-o !tap0 интерфейс выхода не соответсвует tap0(здесь вместо tap0 устанавливается ваш тунель до впн)
-j DROP отправить в утиль

Тоесть одним правилом мы реализовали то чего вы пытаетесь добится
А именно если интерфейс для отправки трафика отсутствует то мы его уничтожаем

Таже логика по идее работает в виндовс кодга вы вместо ip в правило вставите доменное имя

[Daemon23RUS]

Константин Мельников,
1) Вы не понимаете что делаете (факт).
2) Вам подсказали решение (но Вы не понимаете как и где его применить ввиду п1)
3) Вы невнимательно читаете ответы (в частности мой) а ведь я Вас конкретно отправил к документации на RFC 793/791
4) если Вы считаете что кто то будет составлять список какие подсети Вам нужно - Вы ошиблись ресурсом, Вам нужен фриланс.
5) Верный ответ Вам уже дали. Диалог идет как раз под ним.

У меня все работает так как Вам хотелось бы, упал туннель - ресурс не доступен во всей домашней сети с любого устройства. Тратить свое время на пользователя с такой манерой общения ... увольте, пройду дальше мимо!

[Константин Мельников]

Daemon23RUS, такая манера общения у меня появилась не на пустом месте а от того что умники вроде тебя советуют бред и говорят загадками. Зачем мне что то блокировать во всей домашней сети если речь только про ПК? Мне может еще роутер перепрошить на OpenWRT что б сделать то что не требуется?

Если человеку нужно взять молоток и забить в стену гвоздь, ему нужна историческая справка что такое молоток, когда его изобрели, для чего его можно использовать и как много разного с ним можно делать? Вроде как нет. Ему нужно конкретно узнать как забить конкретный гвоздь в конкретную стену. Для этого достаточно показать пример. Ты можешь сколько угодно словами это описывать, но пока не покажешь все равно будет непонятно

Какие ответы мне давали?

Пропишите явно маршруты через удаленный шлюз

это ответ? На что он отвечает? Так просо приложи гвоздь к стене и ударь молотком.
Второй ответ дал чуть больше конкретики

route add адрес_куда MASK маска адрес_шлюза

Но все равно нужно додумывать что автор хотел сказать
А ведь можно было написать куда понятнее, что бы тебя поняли, но видимо такой цели не ставилось
А в итоге оказалось что такой способ и вовсе никак не помог бы

Другой ответ

К доменам проще простого - в хостс заверни на локал.

Тут человек вообще не понял вопрос и ответил совсем левое

Третий ответ

это надо через access list делать чтобы domain address динамически отражался в правиле файрвола

я искал такое в правиле фаервола и не раз, и даже до того как задал вопрос тут
Или может быть это ответ?

а на пк есть не nekobox( управление непонятно чем и какие правила(маршруты) он при этом создает), а firewall который умеет это делать

заменить впн на фаервол, это ответ?

А ты что ответил?

Ууу как печально у Вас с восприятием

ну так явно будет начинаться очень полезный ответ, верно?

[Константин Мельников]

Zerg89, в линукс? Я причем тут линукс? И что ты вообще мне отправил? Я тебе про программу с графическим пользовательским интерфейсом говорю а ты мне за какую то консольную команду. Мы точно на одном языке говорим?

[Zerg89]

Константин Мельников, запрет на отправку трафика вне впн настаивется на клиентских устройствах

[Константин Мельников]

Zerg89, вот ответь мне, куда я тут должен вводить то что ты мне отправил?

[Константин Мельников]

Zerg89, клиентских? А их несколько? Я думал мы все это время говорим об одном и том же устройстве. О ПК под управлением Windows на котором стоит ВПН клиент и на котором же нужно чет там блокировать. Речь все время шла об одном устройстве

[Daemon23RUS]

Константин Мельников,

А ты что ответил?
Ууу как печально у Вас с восприятием
ну так явно будет начинаться очень полезный ответ, верно?

Наверное самый полезный, я вероятно разобью Ваши хрустальные мечты о реальность, ВПН не умеет, так как Вы хотите, так умеет роут. И глубоко фиолетово где применяются эти правила роутинга, на Вашей локальной машине, в винде, линуксе, на самом роутере. Где создадите там и будут.

[Константин Мельников]

Daemon23RUS, только вот почему то никто не смог написать пример такого правила, как его создать и в чем. Через файл хост научили блокировать домен, спасибо, это не то что требовалось. А какой то рабочий пример никто почему то не написал. Или написал но на совсем другой ОС на неизвестной мне программе, и еще не ясно заработало бы оно или нет по тому что у меня не линукс

[Daemon23RUS]

Константин Мельников, потому, у каждого, они будут немного отличатся, и не заработают если неверно указан хотя бы один символ, это Ваша задача адаптировать под себя.

[Константин Мельников]

Daemon23RUS, адаптировать под себя, ЧТО!? Что адаптировать? CMD команду которая не работает? Или линукс скрипт который не работает на Windows? Вы в качестве примера даже домен qna.habr.com не показали как заблокировать. Про steam вообще молчу. Я тоже могу с умным видом показать как в брандмауэре заблокировать steam.exe. Только к вопросу это не относится

[Константин Мельников]

Zerg89, вот как выглядит правило маршрутов в nekobox, если открыть конфиг блокнотом

{
    "custom": "{\"rules\":[{\"outbound\":\"proxy\",\"process_name\":[\"steam.exe\",\"steamservice.exe\",\"steamwebhelper.exe\"]},{\"domain_suffix\":[\"steamcommunity.com\",\"steampowered.com\"],\"outbound\":\"proxy\"}]}",
    "def_outbound": "bypass",
    "direct_dns": "https://doh.pub/dns-query",
    "direct_ip": "192.168.1.1",
    "dns_final_out": "proxy",
    "dns_routing": true,
    "remote_dns": "https://dns.google/dns-query",
    "sniffing_mode": 1,
    "use_dns_object": false
}

Совсем не похоже на то что ты показал. А самое главное что это правило не применяется если впн выключен или вообще не запущен. Вероятно для блокировки доменов нужно использовать какой то другой софт. Но явно не файл хост

[Zerg89]

Константин Мельников,

А на ПК

а на пк может быть что угодно, так ну мы хотябы с клиентом определились
Зайди в файрвол windows и для программ которым разрешен доступ только через тунель запрети выход через все остальные подключения(интерфейсы) кроме тех которые создает nekoray
Таким образом трфик будет уходить только когда активен какойто интерфейс корорый не заблокирован

[Zerg89]

Константин Мельников,

Совсем не похоже на то что ты показал. А самое главное что это правило не применяется если впн выключен или вообще не запущен. Вероятно для блокировки доменов нужно использовать какой то другой софт. Но явно не файл хост

Да неужели доперло
Извени но тебе это и пытались донести все с кем ты ругался

[Daemon23RUS]

Zerg89, Коллеги, только не пишите сегодня про DoT/DoH в особенности с проверкой сертификатов, сломаете наметившийся прогресс в понимании ...

[Константин Мельников]

Zerg89, вы повторяетесь. Я ведь уже задавал уточняющий вопрос на эту тему. ЧТО ТАКОЕ ИНТЕРФЕЙС? Если вы про сетевой адаптер то не создает его NekoBox. У меня 4 сетевых адаптера, кабель Ethernet, Беспроводной Wi-Fi, беспроводной Bluetooth и виртуальный адаптер Radmin VPN (аналог Hamachi). От NekoBox никаких адаптеров нет.

В брандмауэре Windows при создании правила можно выбрать типы интерфейсов:

• Локальная сеть
  
• Удаленный доступ
  
• Беспроводной
  

Если вы об этом то что мне нужно выбирать?

И что до меня доперло? Неужели VPN не умеет блокировать доступ в интернет? Да я это с самого начала знал! Вот если бы я весь трафик через VPN пускал, то отдельные домены или приложения я мог бы блокировать. Есть такая опция в настройках маршрута. Но если ВПН не включен, или тем более если сам ВПН клиент даже не запущен, то ничего он блокировать не сможет. А раз я не весь трафик гоню через ВПН то и не смогу ничего блокировать. Разве я где то писал что я хочу заставить ВПН работать как брандмауэр? Где я такое писал? Покажите!

[99insania99]

Константин Мельников, может стоит перестать вести себя как ребенок и начать немного соображать? Если задача, которую вы себе поставили, не решается. А советы людей, которые явно в теме разбираются, вы не понимаете. То может начать немного самому думать? Написали вам про роутинг, забей в гугл почитай. Не понимаешь что там написано в статье? Каждое непонятное слово гугли и читай. Не умеешь гуглить? Бери чачжпт и спрашивай у него, он вполне нормально объяснит. Тебе дали 2 направления. Роутинг и файервол. Гугли, думай и анализируй.
Хватит недовольно топать ножкой, когда скопированная команда в cmd не заработала. Можно просто спросить: "а что я делаю не так?".

[Ziptar]

Константин Мельников,

твой firewall умеет менять IP скрывая мой настоящий?

Только фаервол, а конкретнее часть любого фаервола - nat - это и умеет. Vpn как таковой этого не умеет, и это не его задача.
Прокси, конечно, тоже умеет, но механизм там другой.

А подытоживая этот балаган тут варианта ровно два:
либо ты пользуешься решениями, которые работают из коробки, а тебе остаётся только пару кнопок нажать - такие есть у платных сервисов, но трафик стима тебе через них спокойно едва ли дадут гонять
либо, если жгучее желание делать самостоятельно не отпускает, разбираешься во всех нужных технологиях преимущественно самостоятельно, и спрашиваешь только конкретику, которая не получается
В третьем варианте Масахиро Сибата катится колбаской по мостовой китайского города под удивлённый взгляд Эраста Петровича, но как руководство к действию его рассматривать не будем.

[Aptwel]

Читая всю ветку комментариев складывается чёткое ощущение что автору вопроса все должны, хотя не, не должны, ОБЯЗАНЫ! А потом заходишь в профиль автора и понимаешь почему так.

[Константин Мельников]

99insania99, соображать, в чем? Хоть кто-то из вас написал что конкретно можно сделать? Вопрос как поставлен? Заблокировать ресурс что б запуск ВПН снимал эту блокировку. И как это сделать? Единственный ответ который я получил это какие то пути через консоль которые по итогу не работают. А все остальные никакой конкретики не давали только сыпят намеками. Никто конкретно не сказал например "есть такая программа, она точно это умеет. Если у этой программы есть пользовательский интерфейс я бы сам разобрался. Но НИКТО из вас ничего полезного не написали. Роутинг, nat, DoT/DoH, линукс, iptables. Я о программированный вопрос задал или о чем? Неужели для этой задачи необходимо свою программу писать исключительно на линукс и больше никак это не решить? Может хватит говорить загадками и пора говорить по существу?

[Константин Мельников]

Ziptar, фаервол умеет выполнять функции VPN? Отлично, посоветуй мне такой фаервол. Как называется. Где скачать?

Решения из коробки. А ХОТЬ КТО ТО ТАКОЕ РЕШЕНИЕ ПОСОВЕТОВАЛ? Тут ни одного названия приложения не прозвучало. Где же эти решения "из коробки"? Мой VPN по твоему бесплатный? Да я подписку на 2 года оформил на 6к рублей. Только я ни разу не слышал про ВПН который умеет чет там блокировать когда не запущен. В каких технологиях мне разбираться, в программировании на линукс из под винды?

[Константин Мельников]

Aptwel, люди ОБЯЗАНЫ отвечать, так как я задал вопрос. Если не можешь ответить, не устраивай срач и проходи мимо

[Disel0k]

По поводу готовых решений, ОБЯЗАНЫ, и т.д. - это на сайт фриланса или в ближайшую IT контору, там оценят, составят ТЗ, подпишут договор и выполнят все что обязаны в рамках договора.
Я поделился тем решением что знаю сам. Да оно не идеальное и требует усилий, нужно узнать какие IP адреса прячутся за доменным именем, нужно отслеживать не появились ли новые и не пропали ли старые (а за одним именем может быть еще и несколько адресов). Но оно рабочее и позволяет реализовать требуемый функционал прямо сейчас.
Возможно кто-то знает как сделать проще - с удовольствием научусь чему-то новому.
Возможно кто-то настолько проникнется, что напишет свое "решение из коробки" и может даже построит на этом свой бизнес.
Но все это будет личным решением каждого, а не потому что кто-то кому-то почему-то чем-то обязан. Здесь люди обмениваются опытом и делятся знаниями, не более того.

[Ziptar]

Константин Мельников,

фаервол умеет выполнять функции VPN?

Нет конечно, с чего ты это взял? Равно как и vpn не умеет транслировать адреса.
Вот только, видишь ли, для обхода блокировок только впн и только фаервола недостаточно, его обеспечивает стек технологий, изучать которые ты не хочешь. Это не в укор, это всё-таки то, что называется специальными знаниями. У каждого своя профессия.

А вообще рекомендую погуглить nekobox killswitch, может чего и нагуглишь, если на нём это реализовано его разработчиками.

А ХОТЬ КТО ТО ТАКОЕ РЕШЕНИЕ ПОСОВЕТОВАЛ?

Так это не очень законно по нынешним временам. Возьми да погугли. Снова, тебе нужен сервис с опцией killswitch.

люди ОБЯЗАНЫ отвечать, так как я задал вопрос.

Нет, не обязаны.

[Ziptar]

Константин Мельников, на винде вообще killswitch реализовать средствами администрирования трудно, а по доменам тем более. Ограниченный инструментарий и сетевой стек очень стрёмный в сравнении с линуксами. У меня, например, сейчас опенврт в виртуалке hyper-v альтернативный маршрут до ютуба обеспечивает (без киллсвича, правда - не считаю необходимым пока, но на openwrt не велика проблема)

[Daemon23RUS]

Константин Мельников,

Единственный ответ который я получил это какие то пути через консоль которые по итогу не работают.

И что Вы пишите в консоли ?!

route add 178.248.233.33 MASK 255.255.255.0 213.183.56.86

И не удосужиться разобраться что за команда, как работает и как ее для себя правильно составить. Естественно она у Вас не сработает, о чем Вам ОС и пишет. А ведь именно эта команда (набор из таких команд) в состоянии решить Вашу проблему, а с колючем -p так и вообще навсегда (до переустановки ОС, смены VPN, смены A записей DNS)

[99insania99]

Константин Мельников, если ты не понимаешь на нормальном языке, то напишу на более понятном для тебя.
Кнопки/приложения которое "Сделает за*бись" - не существует, или мы такого не знаем. Есть комплекс мер, которые можно предпринять в условиях:
А) Винда
Б) Некобокс
Задача не тривиальная. Ты, вместо совместного решения ТВОЕЙ проблемы, начинаешь всем говорить, какие они тупые и такому умному и хорошему не помогают. Отвечают неправильно и вообще все тебе ОБЯЗАНЫ.
Хотя даже не удосуживаешься хоть немного погрузится в тему.

Answer 3

[Refguser]

А можно ли как то сделать, что бы к некоторым доменам и/или приложениям БЛОКИРОВАЛСЯ доступ в интернет, если VPN НЕ запущен?

К доменам проще простого - в хостс заверни на локал.
Для блокировки программ/приложений есть файрволы.

Comments

[Константин Мельников]

Я бы не отказался от примера. Ну допустим я хочу заблокировать сайт qna.habr.com
Просто для примера этот сайт выбрал. Что мне в файл хост прописать? 127.0.0.1 qna.habr.com ?
Прописал, вроде получилось. Сайт не открывается, ошибка ERR_CONNECTION_REFUSED

Но как теперь сделать что бы сайт открывался с запущенным ВПН? Я добавил этот домен в настройки маршрутов NekoBox. Но сайт все равно не открывается ERR_CONNECTION_REFUSED

А мне же нужно что бы с ВПН он не блокировался

[Refguser]

А мне же нужно что бы с ВПН он не блокировался

Надо было об этом в вопросе писать.
Тогда вариант с хост тебе не подходит.

[Константин Мельников]

Refguser, что в моем вопросе

А можно ли как то сделать, что бы к некоторым доменам и/или приложениям БЛОКИРОВАЛСЯ доступ в интернет, если VPN НЕ запущен?

не понятно? Если бы мне просто нужно было что-то заблокировать то зачем я упоминал бы ВПН? Просто заблокировать я могу через брандмауэр без посторонней помощи

[Refguser]

Константин Мельников, как раз так как написано, так и понятно - хостс работает когда ВПН не запущен? Работает.

"Правильно заданный вопрос - половина ответа" (с)Народная мудрость.

[Константин Мельников]

Refguser, а если ВПН запущен, домен по прежнему блокируется? А почему если мне это не нужно? Кукушку подключи. Зачем я упоминаю ВПН если в твоем "ответе" он никак не учувствует?

Answer 4

[benten115124]

Никак этого не добиться. Я тоже пытался такое сделать, перечитал десятки страниц (твой вопрос так через поиск и нашел), и пришел только к одному выводу. Единственный способ сделать нечто подобное это заблокировать нужные ресурсы на роутере, тогда в теории ВПН на ПК будет обходить эту блокировку. Но мой роутер не настолько продвинутый что бы я смог это проверить. Нужен действительно дрогой роутер, а мой всего 8к стоял...

Answer 5

[Kuddesnik]

Можно создать правило в брандмауэре windows, который будет блокировать траффик от этих приложений если он идёт через твой основной сетевой интерфейс в интернет/локальную сеть.
Таким образом когда NekoBox выключен то все будет блокироваться потому что трафф будет идти в основной интерфейс, а если nekobox запущен, то будет идти через него и правило фаера не будет срабатывать.

Comments

[Константин Мельников]

Брандмауэр так не умеет. Он не умеет блокировать подключения через конкретный сетевой интерфейс

[Kuddesnik]

В брандмауэре можно указать локальный IP.
К примеру если у тебя комп имеет адрес на основном сетевом интерфейсе 192.168.1.123 то указываешь его в запрещающем правиле для твоих программ.
Для туннеля NekoBox это правило не будет работать, т.к. там будет другой адрес.