Как устранить DNS Leak на Ubuntu клиенте?

Question

[m5xim]

Здравствуйте! Есть проблема с утечкой dns на Ubuntu 18.04 -
подключение идет через .ovpn файл стандартными средствами ос (через настройки предварительно установив openvpn и network-manager-openvpn-gnome пакеты).
При подключении все выглядит корректно, ip изменяется но заблокированные сайты не работают и dnsleaktest.com показывает утечку.
Что касается OpenVpn сервера : в нем есть block-outside-dns и строки

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

для Linux клиентов.
На Windows и Android клиентах утечки dns нет.
Пробовал подключаться чисто через терминал (openvpn --config /etc/openvpn/{name}.ovpn как указано на оф сайте), но проблема остается.
Кто сталкивался, подскажите что можно сделать?
UPD : Проблема решена установкой пакета openvpn-systemd-resolved и исправлением конфига
на

script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre
# prevent DNS leakage
dhcp-option DOMAIN-ROUTE .

- причина была в переходе Ubuntu с resolvconf на systemd.
Источник : askubuntu (второй ответ).
UPD2 : это решение работает только для стандартного консольного openvpn клиента (т.е. для подключения через терминал openvpn --config /etc/openvpn/{name}.ovpn), при подключении через network manager проблема остается, так что видимо необходимо ждать обновлений и официального исправления.

Answer 1

[ashv24]

А на клиенте есть типа этого:
dhcp-option DNS "ip address" # использование удалённого DNS
redirect-gateway

А эти скрипты update-resolv-conf не срабатывают на клиенте с убунтой? А в винде и андроиде не срабатывают? И вот утечка получается... Что они делают эти скрипты?

Comments

[m5xim]

строки

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

закомментированы по умолчанию, я их раскомментировал только для Linux клиента как указано в мануале.
С андроид клиентом по умолчанию проблем не было, с виндовым тоже была утечка но решилась добавлением block-outside-dns.
Нет, на клиенте нет строк как вы привели, при тесте выводит общие DNS (от OpenDNS, как m41.fra.opendns.com ...).
Насколько я понимаю проблема в самой ос, вернее в ее настройке.

Answer 2

[grabbee]

Была похожая проблема на 16.04. Я использовал графический интерфейс для настройки сети WI-FI(возможно у вас провод). Там настройки IPv4 - использовать только адрес. Аналогичная опция есть и в настройках VPN

На сервере судя по всему должны быть настройки

# DNS servers provided by opendns.com.
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Но это не точно