Пустить весь траффик через VPN (tunnelbear, openvpn) на windows?

Question

[Никита]

Всем привет. Есть win 10, tunnelbear vpn (который работает через openvpn). Каким образом я могу пустить весь траффик через него? Уже весь инет перерыл, не нашёл работающего кейса для себя.

Задача - не пропускать пакеты, если vpn отключить.
Что пробовал :
1) На встроенном фаерволе я не могу заблочить все outbound и одновременно сделать исключение для tunnelbear. так оно не работает
2) Попробовал удалить роут на внешний интерфейс (wifi), всё неплохо, пока не оборвётся vpn, при подключении - соответственно он не может подключиться, т.к. с 0.0.0.0 больше нет роутов. Если я возвращаю старый роут на вайфай интерфейс - пока впн будет коннектится - есть шанс что параллельно улетят пакеты не через vpn.
Если бы можно было тут что-то докрутить, было бы отлично, но я не очень разбираюсь в сетевых фишках, гугл ничего неподсказал.
3) пытался проделать трик с public/virtual network, если vpn пустить в public, а wifi в private, и закрыть все коннекшены к private/domain - должно всё идти только через Public, а там будет только vpn. В теории всё стройно плюс минус, а на практике та же проблема - vpn не хочет коннектится, т.к. стучится в private который закрыт.

Подскажите какие-то варианты, руки уже почти опустились :)

Answer 1

[rPman]

Есть очень 'красивое' и простое решение вашей задачи, без vpn уберите шлюз по умолчанию в настройках сети (пропишите статикой или укажите в настройках dhcp сервера для конкретной машины), затем укажите статический роут до vpn сервера в консоли, запущенной с правами администратора (придется прописать все ip адреса которые использует vpn-провайдер, бывает их несколько, узнавать обратившись к провайдеру статистику или собрать самому)

route add IP_адрес_vpn_сервера MASK 255.255.255.255 IP_адрес_вашего_шлюза_в_интернет -p

-p - это чтобы при перезагрузке этот роут восстановился

теперь единственное куда сможет выйти машина - это vpn сервер, после подключения к которому шлюз будет уже этой vpn и весь интернет пойдет через него

Answer 2

[Alexey Dmitriev]

1. Включите опцию VigilantBear. Судя по описанию она блокирует любой трафик, проходящий не через TunnelBear.
2. Непонятно почему вы не можете использовать встроенный файрвол. Вам всего лишь нужно описать весь входящий и исходящий трафик - для соединения tunnelbear с сервером и для пакетов внутри TunnelBear.
Затем следующим после этих правил поставить запрещающие всё правила на вход и выход и командой из консоли включать их или выключать.

Answer 3

[ky0]

Вы для этого хотите использовать крайне неподходящую систему. Есть специальные линуксовые дистрибутивы, состоящие из двух кусков - шлюза и собственно клиентской части, именно ради того, чтобы ни одного пакета не уехало наружу без анонимизации (это я про Whonix говорю, например).

Comments

[chupasaurus]

В любом дистре Linux с ядром 3.2+ есть network namespaces и поддержка в iproute2, с помощью которых можно поднять туннель в изоляции, и там же запускать приложения.

[ky0]

chupasaurus, угу, и, разумеется, человеку, который сидит на винде и задаёт вопрос в подобном ключе - намного проще всем этим заморачиваться вместо того, чтобы просто запустить две уже подготовленные виртуалки.

Answer 4

[Ахмед Ч]

Если ваш VPN сервер с поддержкой IPv6, и добавляет клиенту IPv6 адрес - что сделать на сервере очень просто - то в настройках DNS сетевого адаптора ip4 Винды пропишите фейковый, например 127.0.0.1, а DNS ip6 - реальный, например Cloudflare 2606:4700:4700::1111, 2606:4700:4700::1001. Тогда при отключении впн резолвить просто не будет и трафик ходить не будет