Как исправить DNS leak на OpenVPN?

Question

[cakoxo]

Настроил OpenVPN на AWS инстансе скриптом https://github.com/Nyr/openvpn-install
Вылезла проблема - DNS Leak.

Нагуглил решение:

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Сначала обрадовался, т.к. при первой проверке утечка исчезла, но заметил, если перезагружаешь страницу нескольок раз, то утечка все равно вылазит.

Как исправить? Убунта 16.04

Answer 1

[Дмитрий]

--block-outside-dns

Comments

[cakoxo]

Пробовал, не работает.

[Дмитрий]

cakoxo: а версия какая? у меня всё работает
нужна версия 2.3.9 или выше

[cakoxo]

Options error: Unrecognized option or missing parameter(s) in [CMD-LINE]:1: block-outside-dns (2.3.10)

Добавление в конфиг тоже дает ошибку.

[cakoxo]

sudo openvpn --block-outside-dns --config openvpn/client.ovpn

[cakoxo]

OpenVPN 2.3.10 x86_64-pc-linux-gnu

[Дмитрий]

cakoxo: так подождите, у вас клиент на линуксах тоже что ли? эта опция только для винды

[cakoxo]

Дмитрий: ну естественно.

Answer 2

[ky0]

Прибейте фаерволлом на клиенте всё, летящее на 53 порт, кроме впнной подсети.

Comments

[cakoxo]

Звучит красиво! А поточнее можно как это сделать, или вас нужно упрашивать? :))

[cakoxo]

gufw, Ubuntu

Answer 3

[m5xim]

Fix dns leak
попробуйте добавить строку block-outside-dns в файл client.conf (по шаблону которого будут генериться клиентские конфиги) при этом конечно необходимо сгенерировать и доставить новые конфиги клиентам.
Также используйте последние версии openVpn как сервера так и клиентов.

Answer 4

[younghacker]

Нужно передать DNS со стороны сервера на клиента , и на клиенте как уже сказали выше рубануть исходящий и входящий трафик на 53 порту везде кроме tun интерфейса.
Разумеется в этом случае адрес VPN сервера должен быть указал в цифровом виде. Не доменный.
iptables на клиенте будет выглядить как-то так:

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o tun+ -j ACCEPT
-A OUTPUT -o eth0 -d adresservera -p udp -dport vpnport -j ACCEPT
-A OUTPUT -j DROP

кусочек конфига openvpn сервера:

push "dhcp-option DNS 10.1.10.1"
push "redirect-gateway"

Разумеется DNS должен быть проксирован или проброшен снаружи через туннель
Если всё ещё актуально, постучитесь в скайп - поясню/помогу.

Comments

[VITYA-XY1]

а как можно не рубать весь трафик, а только dns

[younghacker]

В зависимости от типа DNS трафика.
Например так:

-A OUTPUT -p udp -m multiport --dports 53,853,5353 -j DROP
-A OUTPUT -p tcp -m multiport --dports 53,853,5353,8245 -j DROP

Но правильнее ставить задачу целиком. :)

Answer 5

[RZYR]

Либо в уже готовый клиентский config добавить
block-outside-dns
Либо в серверный config
push "block-outside-dns"

Взято здесь: https://forums.openvpn.net/viewtopic.php?t=22039 проверено, работает.