Как закрыть доступ в сеть всему кроме OpenVPN ?

Question

[mihass]

Есть у меня VPN сервер на удаленной машине. Я работаю на Windows и хочу через этот VPN ходить в инет. Поставил OpenVPN, все прекрасно работает. Но, если соединение с VPN обрывается, то все идет в сеть минуя VPN. Задача сделать так, чтобы абсолютно все работало только через VPN и если соединение рвется, то доступ в инет блокируется.
Я понимаю, что можно как то с помощью firewall решить, но что то ничего толкового не выходит.

UPD. Попросили поделиться решением. Сделал в firewall 2 зоны, одна локальная а вторая OpenVPN. У второй указал локальный адрес openvpn сервера. Для локальной зоны для всех приложений запретил выход в инет а для зоны openvpn разрешил выход в инет.
В итоге все работает как положено, как только соединение с vpn пропадает, все ломится в сеть через локальную зону и firewall сделать этого не дает.

Comments

[Алексей Журбицкий]

покажите что в

route print

[mihass]

Ребята, всем спасибо за участие. Добил таки свой вариант с firewall, все работает как должно работать.

[Алексей Журбицкий]

Может поделитесь? Мало ли, может у кого-то такая же проблема будет.

Answer 1

[Алексей Журбицкий]

По идее достаточно удалить шлюз по умолчанию в таблице маршрутизации на Windows машине и добавить отдельный роут на сервер VPN.

Comments

[smartlight]

если шлюз по умолчанию удалить, то как он к удаленному серверу openvpn подключится?

[smartlight]

нужно оставить маршрут до удаленного сервера openvpn, тогда в принципе получится и без фаервола

[Алексей Журбицкий]

smartlight я ж и говорю — создать отдельный роут на сервер VPN, в котором и указать через какой шлюз идти.

Answer 2

[Максим]

С помощью firewall решается просто — закрыть все, открыть только openvpn_ip:1194

Comments

[Алексей Журбицкий]

Bublik берем например habrahabr.ru, DNS возвращает 62.213.71.224. Вопрос — такое правило меня пустит?

[Максим]

Такое, это какое?

[Алексей Журбицкий]

Bublik

закрыть все, открыть только openvpn_ip:1194

[Максим]

Если в этот момент будет подключено VPN соединение, то да.

[Алексей Журбицкий]

Почему? Пакет то будет иметь dst=62.213.71.224

[Максим]

А default gw на что?

[Алексей Журбицкий]

Да, по default gw он попадет vpn интерфейс и установится адрес следующего перехода на openvpn_ip (по сути — установка MAC адреса получателя равному MACу шлюза), но от этого адрес назначения пакета не станет равным openvpn_ip (а в правиле проверяется именно оно), т.е. такое правило его не пропустит.

[Максим]

Почему тогда у меня все работает? ;)

[4dmonster]

Просто не надо включать фаервол на интерфейсе OpenVPN`а

Answer 3

[Игорь]

можно как то с помощью firewall решить, но что то ничего толкового не выходит.

А в чём проблема? Как пробуете? Нужно на локальном сделать запрет всего трафика и разрешить только на IP и порт, который используется для создания OpenVPN

Answer 4

[Игорь]

Если говорить о Windows-клиентах, то специально для них существует тулза «openvpn protector».
Найти её можно тут. Кажется, надо зарегаться и скачать. Она там будет либо отдельно, либо в комплекте с ПО. Она как раз спрашивает пользователя нужно ли подключаться к инету когда пропадает VPN.

Для linux-клиента я сделал по-другому. В конфиге Openvpn клиента добавил строчку: «down down.txt»

содержимое файла «down.txt»:

"#!/bin/sh -e
route del default"

после этого для linux клиента инет после обрыва vpn соединения будет недоступен. Но придётся вручную прописывать маршрут по-умолчанию перед тем, как создать новое openvpn соединение. Хотя это тоже можно автоматизировать.

Answer 5

[Николай Турнавиотов]

Не проще при той постановке вопроса, которую я вижу тогда сделать DHCP default gw — ip адрес VPN
на VPN — маршрутизацию всего трафика в vpn и при падении vpn интернета в подсети не будет.

Comments

[Николай Турнавиотов]

и фаерволом все пробрасывать в впн интерфейс с блокирвоанием всего остального