Блокировать весь не VPN трафик при помощи фаервола?

Question

[jejoj]

Здравствуйте.

Пользуюсь OpenVPN и хочу, чтобы даже при падении VPN интернет не продолжал работать под реальным IP. Для решения данной проблемы были перепробованы почти все варианты из гугла, но остановилась я на создании специальных правил в windows 7 firewall.

Вот сама инструкция (она короткая https://zorrovpn.com/articles/windows-firewall-vpn-only ), но опишу кратко сама:

Суть в блокировки вообще всех подключений для профилей private и domain, но делается исключение для openvpn.exe. Тогда интернет будет работать только через VPN.

Но есть проблема: Не работает интернет через OpenVPN если заблокировать все входящие\исходящие подключения для профиля public, а это важно, т.к. по умолчанию все новые подключения система относит именно к этому профилю.

Т.е. чтобы описанные в инструкции правила работали корректно надо все новые подключения менять на home или work. Почему Интернет не работает (хотя openvpn к серверам коннектится) если заблокировать входящие\исходящие коннекты в public профиле с исключением для openvpn?

Готова даже отблагодарить bitcoin'ами за помощь, а так же была бы рада услышать другие варианты решения моей задачи (Интернет строго только через OpenVPN). Спасибо!

Comments

[ComodoHacker]

Ваша ссылка битая, поправьте URL.

Метя тоже интересует этот вопрос, пока работаю без дополнительной настройки.

[jejoj]

Поправила, т.е. у вас пока коннекты из public сетей разрешены?

В одном из схожих мануалов я нашла замечание по этому вопросу https://bolehvpn.net/blocking-non-vpn-traffic.php

самый последний абзац:

"Alternatively, you can also block outbound connections of the Public Profile in the third tab. Should you do this, you will need to set more firewall rules to allow your programs to get internet access when connected to the VPN. By this stage, you should be quite familiar on how to do so. It should be almost similar to Step 2 of this section; select a specific program, and leave only Private unchecked. Note that this should be done for both outbound and inbound."

Я создала аналогичные правила для входящих\исходящих коннектов, но оставила чекбокс Private неактивным. Ничего не получилось. Может у вас получится - отпишитесь.

Answer 1

[ldv]

Вероятно сам адаптер OpenVPN имеет тип сети - публичная. Соответственно, если вы запрещаете исходящие подключения для public, то работать ничего не будет.

Можно попробовать изменить зону по-умолчанию для новых подключений
https://niallbest.com/unidentified-networks-in-win...

PS. Еще в свойствах правил файрвола во вкладке дополнительно есть раздел "Типы интерфейсов". Если под новыми подключениями вы понимаете беспроводные сети, то создайте правило разрешающее доступ только по порту VPN сервера через WiFi.

Comments

[jejoj]

Спасибо за этот вариант! Но есть одна неприятная мелочь: Фаервол не блочит Интернет в момент идентификации сети. Т.е. с момента подключения (к новой сети) до момента, когда все работает как надо есть 3-5 секунд, когда в интернет можно зайти и будет виден реальный ip. Вы не подскажите почему так получается и как это исправить?

[ldv]

jejoj: Вы первым вариантом воспользовались? Там еще политика есть Identifying Networks. Не пробовали?

[jejoj]

Все работает, спасибо! Думаю, многим будет полезно узнать про данное решение.

Да, я воспользовалась первым вариантом, так как подключение произвожу не через wi-fi.

Последней проблемой было решение вопроса с DNS утечками. В итоге остановилась на прописании в настройках основного подключения (не OpenVPN) несуществующего адреса 127.0.0.1. Это хорошая идея?

[ldv]

jejoj: ну да, просто оставить пустой список DNS серверов почему-то нельзя

[mrstrelnick]

@@ldvldv, здравствуйте! Помогите, пожалуйста -- расскажите чуть подробнее про 2 вариант. Новые сети wifi считаются public, поэтому хочу запретить доступ в Интернет в таких сетях НЕ через VPN.

Answer 2

[Сергей]

а не судьба поднять виртуалку маршрутизатором ... до нее пустить весь трафик а с нее уже поднять впн и запретить с него ходить трафик куда-то кроме впн?)

Comments

[jejoj]

Нет, не судьба. Поднимать виртуалку ряди этого? Это по меньшей мере не рационально.

[Сергей]

да ну? нука давайте глянем на требования MikroTik Cloud Hosted Router за 2000 рублей
System Requirements

Minimal requirements:
64bit CPU with virtualisation support
128 MB or more RAM for the CHR instance
128 MB disk space for the CHR virtual hard drive
... о Божееееее!!!! вы разоритесь!!!!

[Сергей]

я сомневаюсь что вы сможете найти подобное СВЕРХМОЩНОЕ железо =(. вы правы!

[Сергей]

а с учетом того что до микротика вы можете стчаться по pppoe ... а он не пускает трафик за пределы того что вы ему укажете ... прям бяда!!!!

[jejoj]

Вы не понимаете значения слова "рациональность".

[ComodoHacker]

Опять синдром "русского форума".

[Сергей]

ComodoHacker: неправильно поставленная задача приводит к неверным решениям. какой такой синдром?)

[ComodoHacker]

Вы предложили альтернативное решение - ТС его не приняла. Успокойтесь на этом. Если не можете ответить, как решить задачу через фаервол, не надо спорить и флудить.

[Сергей]

ComodoHacker: а я спокоен. Я предложил и чуть позже обосновал. Речь идёт о безопасности. Это вы тут решили пофлудить и поумничать. Успокойтесь. Тут не психологию обсуждают. Если вам нечего конкретно сказать что-то по реализации предложенной мной ... то рекомендую идти на свой любимый форум и там всем рассказывать все что захочется.

[Сергей]

А уже авто сам решить что отметить ответом. Другое дело люди. Которые позже зайдут с гугла в эту тему и посмотрят комментарии. Возможно из заинтересует моё решение. ComodoHacker:

[Сергей]

ComodoHacker: а если вас вдруг заинтересует психология ... уверяю что не один хакер не добавляет в ник "хакер" и не подписывается на темы про windows 7 ...

Answer 3

[alegzz]

в дополнительных настройках жмите "свойства брэндмауэра", "защищенные сетевые подключения - настроить", там снять галку с Openvpn подключения

Comments

[ldv]

Но в этом случае, встроенный файрвол не будет работать во время серфинга по интернету.

[jejoj]

ldv: а есть ли в этом опасность, если все подключения все равно могут проходить только через VPN?

[ldv]

jejoj: зависит от VPN сервера. Если другие клиенты могут вас видеть или вы получаете белый IP, то есть риск проникновения извне.

Answer 4

[Влад Животнев]

default route в системе уберите.

Comments

[jejoj]

Он ведь каждый раз при рестарте заново прописывается?

[Влад Животнев]

jejoj: в этих ваших виндах - мб.
в networkmanager есть настройка "получать только IP-адреса по dhcp"

anyway, сеть можно настроить статически без дефолтного шлюза, только роут до vpn-сервера через него прописать, даже в винде.