[VPN] Как обезопасить себя от просвета реального IP?

Question

[Mock]

Кто использует OpenVPN наверное замечали, что иногда бывает, что когда сеть VPN падает, тут же начинает работать ваш родной прямой доступ интернет и тут же просвечивается ваш реальный ip (это может произойти за секунду-две пока VPN переподключается). Особенно большая вероятность выдать реальный ip, когда работает какой-то софт, там просвет моментальный.

Проблема известна и придумали небольшое лекарство, вот secretsline.biz/ru/pages/onvpndown. Но есть одна проблема, лекарство не всегда работает. Вот скажем у меня 3G и провайдер принудительно присваивает каждый раз настройки, т.е. у меня интернет работает в любом случае, прописан Основной шлюз или не прописан.

Вопрос такой, как заставить работать интернет исключительно через OpenVPN. Заранее спасибо за ответ

Comments

[smartlight]

Какая ОС?

[Mock]

Win 7 x32

Answer 1

[Wott]

Ну можно прибить default route и вместо него добавить route для vpn, тогда при падении оного просто не будет маршрута

Comments

[smartlight]

В случае с 3g вы не заметите как переподключились.

[Wott]

Извиняюсь — по ссылке так и делают.
Попробуйте сразу в cmd от админа сделать

route delete 0.0.0.0
route add 1.23.45.67 10.0.2.2 -p

и после подключения

route add 0.0.0.0 mask 0.0.0.0 10.100.1.1

все адреса (1.23.45.67, 10.0.2.2, 10.100.1.1) — из примера по ссылке — нужно подставлять соответвующие

[Wott]

ок, можно прописать persistent default с меньшей метрикой
типа

route -p add 0.0.0.0 mask 0.0.0.0 127.0.0.1 metric 2
route add 1.23.45.67 10.0.2.2 -p

потом

route add 0.0.0.0 mask 0.0.0.0 10.100.1.1 metric 1

если адрес vpn ( 10.100.1.1 который ) белый — в смысле нормально пингуется без vpn, то в последней команде надо добавить if и номер того интерфейса, который VPN поднимает — смотреть командой route print

[Wott]

нет так винда не желает работать корректно

Answer 2

[pcdesign]

Как вариант, можно поднять виртуалку vmware например и назначить ей сетевой интерфейс tap от openvpn.
Будет 100% гарантия, что ничего не утечет наружу.

Comments

[Mock]

Да, но это придется через нее работать, а это тормоза и неудобство как минимум

[pcdesign]

www.ozon.ru/context/detail/id/7607778/

В этой книжке так прямо и говорится, что если увеличиваешь безопасность, то уменьшаешь удобство. Даже коэффицент приводится:
Безопасность = 1 / (1,072 x Удобство )

Так что это вам решать, что для вас важнее :)

Можно сделать как предложил ниже OCTAGRAM.
весь трафик Windows пропускать через виртуалку.

В этом случае можно поднять очень легкую виртуаульную линукс машину, с 256 мегами оперативы.
Установить опенвпн на ней и раздавать винде уже то что пришло от tap/tun.
Тормозов никаких при этом не будет.

Answer 3

[smartlight]

Видимо один я понял, чего хочет ТС.
Представим ситуацию — Интерент подключен через 3G/4G модем(настройки приходят по DHCP), поверх него запущен openvpn с заменой default GW. Работают программы активно юзающие интернет соединение.
Пользователь отходит от компьютера покурить/попить_чайку/etc, в это время обрывается интернет соединение через модем, падает и openvpn, модем переподключает интернет, но openvpn еще не поднят(для этого надо от 10 сек до нескольких минут в зависимости от настроек) и в этот самый промежуток времени «палиться» IP пользователя. Openvpn подымается, интернет начинает «идти как надо», приходит пользователь и видит, что всё ок, и не знает, что уже «спалился».
Вот такой ситуации и боится ТС.

Comments

[smartlight]

Если бы был Linux то там есть возможность выполнять некие команды при вкл/откл интерфейсов.
Думаю что в винде эти возможности есть, но они не афишируются.Будет интересно их узнать.

[Wott]

какая маска сети приходит при подключении по модему?

[ComodoHacker]

Вообще-то vpn соединение падает не сразу, а через --ping-restart секунд. По идее достаточно, чтобы модем переконнектился. Пока vpn соединение не отвалится, маршрут к vpn шлюзу будет перекрывать новый маршрут по умолчанию, и трафик вообще не будет проходить. По крайней мере на Lunix клиенте у меня так, может на Windows по-другому?

[Mock]

Да, все верно smartlight. Более того, бывает так, что может упасть не 3G, а сам openvpn. Вот тогда-то и идет просвет

Answer 4

[OCTAGRAM]

Надёжнее всего использовать дополнительную машину, в том числе виртуальную.

Можно либо на виртуалке трафик создавать, пропуская через Windows, либо, наоборот, трафик Windows пропускать только через виртуалку.

Чтобы трафик Windows шёл только виртуалку, при том, что физически доступ в Интернет имеет в первую очередь именно Windows, надо в настройках физического подключения к Интернет снять галочки с IPv4 и IPv6. Потом к этому подключению одним концом цепляется виртуальная машина, а другим концом эта же виртуальная машина цепляется к Host only сетевому интерфейсу, и именно через этот Host only интерфейс должна работать основная тачка.

3G в схеме подключения усложняет задачу. 3G может не получиться подключить к виртуальной машине. На виртуалках есть форвардинг USB, но на случай, если не получится, я бы раскошелился на 3G роутер, подключаемый по Ethernet.

Comments

[pcdesign]

либо, наоборот, трафик Windows пропускать только через виртуалку.

Прикольная идея.

Answer 5

[Игорь]

Вот скажем у меня 3G и провайдер принудительно присваивает каждый раз настройки, т.е. у меня интернет работает в любом случае, прописан Основной шлюз или не прописан.

А можно поподробнее? Как это у Вас будет работать интернет без основного шлюза?
Я вот у себя в линуксе в скрипте down прописал route del default и всё. В случае отказа VPN — у меня удаляется основной шлюз и интернет не работает пока я снова шлюз по умолчанию не пропишу

Comments

[ComodoHacker]

Тут скорее route del default нужно в up скрипт вставлять для ppp интерфейса.

[Игорь]

нет. в down скрипт. Потому что когда vpn «отваливается» как раз down и отрабатывает. там прописано восстановление шлюза по умолчанию на провайдерский. вот можно это убрать и вообще шлюз по умолчанию удалить как я и делаю

Answer 6

[egorinsk]

А вы не делайте ничего такого, за что вам потом будет стыдно, и проблема исчезнет сама собой.

Comments

[fack2uoy]

ту-¶-здень
©by Здравый Смысл