Как обезопасить себя от просвета IP адреса при VPN PPtP подключении?

Question

[kirbak]

Как обезопасить себя от просвета IP адреса при VPN PPtP подключении?
Windows 7 x32

Что я подразумеваю под этим ?
Представим ситуацию, когда идет обмен траффиком и в какой-то период падает буквально на 5 секунд VPN-соединение, в этот момент будет виден реальный IP адрес.

Comments

[АртемЪ]

Что вы понимаете под просветом IP ?

[kirbak]

Артем: Представим ситуацию, когда идет обмен траффиком и в какой-то период падает буквально на 5 секунд VPN-соединение, в этот момент будет виден реальный IP адрес.

Вот эту ситуацию....

Answer 1

[kodi]

1.Прописать постоянный маршрут до нужного адреса чере впн. Коннекта точно не будет, но могут светиться попытки соединения, надо проверить.
2.Если есть фаерволл, то запретить на нем на выход пакеты на нужный ip через внешний интерфейс.

Comments

[kirbak]

беда в том, что я ради примера привел выше ситуацию. По факту вот такой просвет может быть когда угодно. даже при серфинге страниц

исходя из этого и нужно какое-то универсальное решение

[kodi]

kirbak: тогда на фаерволле через внешний интерфейс разрешить ходить только до впн-сервера, что позволит только поднять канал. А уже через интерфейс впн-канала будет ходить все.

[kirbak]

Не знаете как это реализовать в comodo firewall free? я попробовал, но никак не могу добиться этого

[kodi]

kirbak: нет, не знаю.
3 правила, при условии что по-умолчанию все разрешено:
allow gre from me to 1.1.1.1 out via rl0 keep-state
allow tcp from me to 1.1.1.1 1723 out via rl0 keep-state
deny ip from me to any out via rl0
где 1.1.1.1 - адрес впн-сервера, rl0 - ваш внешний интерфейс

[kirbak]

беда в том, что у меня адрес вот в таком виде se-vpn.frootvpn.com

[kodi]

kirbak: в вашем фаерволе нельзя указывать домен?
Посмотрите сколько А-записей на домене, скорее всего одна и возьмите ip оттуда.
Еще хороший вам совет дали ниже. Либо.Сделать как там, либо: В качестве основного шлюза указать чтото заведомо не правильное и прописать статический маршрут до вашего сервера. Это даже без применения фаерволла получается.

[kirbak]

se-vpn.frootvpn.com. 1799 IN A 178.73.212.196
se-vpn.frootvpn.com. 1799 IN SOA dns1.name-services.com. info.name-services.com. 2002050701 10800 3600 604800 3600
se-vpn.frootvpn.com. 1799 IN A 178.73.212.197
se-vpn.frootvpn.com. 1799 IN A 178.73.212.203
se-vpn.frootvpn.com. 1799 IN A 178.73.212.194
se-vpn.frootvpn.com. 1799 IN A 178.73.212.202
se-vpn.frootvpn.com. 1799 IN A 178.73.212.198
se-vpn.frootvpn.com. 1799 IN A 178.73.212.199
se-vpn.frootvpn.com. 1799 IN A 178.73.212.206

> В качестве основного шлюза указать чтото заведомо не правильное и прописать статический маршрут до вашего сервера

Вы имеете ввиду тут - prntscr.com/56q7xk ?

Вот таким набором настроек обладает Comodo firewall:
prntscr.com/56q8aa
prntscr.com/56q8ek
prntscr.com/56q8ik
prntscr.com/56q8mq

[kodi]

kirbak: уточните какое у Вас подключение к интернет, ethernet, pppoe, pptp? статический или динамический айпи?

Answer 2

[throughtheether]

Думаю, можно "отключить" (null route, на windows делается примерно так) маршрут по умолчанию. Для доступа к VPN-серверу, прописать до него специфичный статический маршрут (как упомянул kodi).

Comments

[kodi]

Кстати да, более простой вариант. Основным шлюзом вообще рандомное чтото указать можно.

[kirbak]

маршрутов к VPN'у достаточно много.. выше написал все