OpenVPN — дыра в фаерволе. Что делать?

Question

[cryptopotato]

Попробовал такой эксперимент с Comodo Firewall и OpenVPN:
При включенном OpenVPN-соединении заблокировал полностью доступ в сеть в правиах приложений Comodo и как и ожидалось Comodo не стал мешать загрузке торрента, так как видимо весь трафик шёл через приложение OpenVPN. Сразу после разрыва подключения скорость начинала стремительно падать и загрузка прекращалась (то есть правило работало). Тот же самый опыт провёл с браузером - результат тот же. В итоге получаем способ блокировки утечки трафика при разрыве VPN-соединение, но оргомную дырищу в безопасности - при включенном VPN любое приложение в обход запретов фаервола может выходить в сеть!
Что делать?

Comments

[mureevms]

Смотрите правила фаера, все дело в них. Вангую, что есть запрет в дефолтной сети, но его нет в сети впн, вот трафик и проходит. Никакой дыры, простое непонимание принципа работы фаера

Answer 1

[Роберт Мартиросян]

Здравствуйте.
Чтобы понять что происходит, нужно понять как всё работает, вне зависимости от типа брандмауэра (фаервола) и VPN. Если на пальцах, то VPN это тунель ("труба") которая позволяет подключасться к какой-то сети, будучи "изолированной" и защищённой от "окружающей" сети в среде передачи. Сеть построенная с VPN может иметь совсем иные параметры (IP адреса и прочее). Правила или ограниченя в основной среде (сети) могут не распространяться в VPN сеть. Представте изолированный ящик в комнате. Всё что будете творить и вытворять в комнате не повлияет на то, что в ящике. Для этого нужно дополнительные правила в фаерволе для сети VPN, если это возможно с финкционалом используемого фаервола.
При выполнении серьёзных работ, если в основном используются правила на уровне сети а не для приложений в ПК, желательно использовать не программый брандмауэр (фаервол), а аппаратный (например Mikrotik), с помощью которого можно так же создавать VPN подключения.