Форум русскоязычного сообщества Ubuntu


Автор Тема: Блокировать весь трафик, который не через vpn.  (Прочитано 9976 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Sequensor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Имеем сомнительную вай-фай сеть, интернет раздается через роутер. На компе с убунтой установлен опенвпн клиент, коннект происходит к серверу в интернете. Как сделать так, чтобы при случайном разрыве опенвпн-соединения не допустить прохождения трафика в интернет "напрямую", т.е. не через впн?

ситуация 1 в 1 как здесь , только, похоже автор не нашёл там решения.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Указать использовать подключение только для ресурсов в локальной сети и вручную поднимать маршрут до VPN сервера перед подключением.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
ситуация 1 в 1 как здесь , только, похоже автор не нашёл там решения.
Нашёл или нет - это только ему, тому топикстартеру, известно, а вот решение я ему дал самое простое и самое рабочее.
Собственно его AnrDaemon и повторил

Оффлайн meinung

  • Активист
  • *
  • Сообщений: 317
  • in nomine patris et fili et spiritus sancti amen.
    • Просмотр профиля
fisher74,
AnrDaemon,
иди  срисовав  адрес который  дает ТД  присвоить его  ручками    не  указывая шлюза, а  потом естественно добавить маршрут  только к  впн серверу
just read this flowing manual

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
meinung, зачем, спрашивается такой геморрой? Что-то там срисовывать, потом регулярно ловить, чтобы не было конфликта адресов в сети и т.д. и т.п.? Надо всё настраивать так, чтобы вмешательство пользователя было минимальным. Поставил галку "использовать только для ресурсов этой сети", добавил один статический маршрут и всё, все заботы кончились. В случае не NM всё тоже самое делается в dhclient.

PS "Лучше день потерять, а потом за пять минут долететь" ©

Оффлайн 3956934753

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #5 : 01 Сентября 2014, 11:17:20 »
Всем здравствуйте!

Помогите новичку правильно настроить VPN, дабы избежать утечек трафика. К сожалению из 2-х прочитанных тем (за 20011 и эту, за 2013) мне не ясно, как это сделать, поэтому я был бы премного благодарен за более подробную консультацию (с перечислением благодарности в виде WMZ на ваш счет).

В наличии: Ubuntu 14.04 ENG, + Java + Flash. Firefox с отлюченными куки. Установлен OpenVPN manager (sudo apt-get install network-manager-openvpn). С сервисом VPN работаю через установленный сертификат, полученный с сайта сервиса, тип аутентификации - пароль.

Цель: необходима система, при которой до подключения к VPN (или при его обрыве) трафик бы не уходил на прямую, а также избежать DNS утечек в связи с установленными Flash и Java.

Заранее благодарен.
PS Надеюсь на подробное объяснение, так как начинающий убунтовод.
« Последнее редактирование: 01 Сентября 2014, 11:27:42 от 3956934753 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #6 : 01 Сентября 2014, 11:36:14 »
адрес сервера статический?
и ip a; ip r в студию

Оффлайн 3956934753

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #7 : 01 Сентября 2014, 11:48:04 »
Сразу хочу предупредить, если я чего-то не понимаю, это не значит что я не хочу это понять, просто некоторые моменты возможно еще не знаю :)

Адрес сервера VPN? Если да, то статический, в конфигурации VPN пишу его в самой верхней строке  Gateway:

pc:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 00:24:54:66:2c:8b brd ff:ff:ff:ff:ff:ff
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether c4:17:fe:a0:bc:42 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.164/24 brd 192.168.1.255 scope global wlan0
       valid_lft forever preferred_lft forever
    inet6 fe80::c617:feff:fea0:bc42/64 scope link
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.10.10.30 peer 10.10.10.29/32 brd 10.10.10.30 scope global tun0
       valid_lft forever preferred_lft forever


pc:~$ ip r
default via 10.10.10.29 dev tun0  proto static
10.10.10.1 via 10.10.10.29 dev tun0  proto static
10.10.10.29 dev tun0  proto kernel  scope link  src 10.10.10.30
192.168.1.0/24 dev wlan0  proto kernel  scope link  src 192.168.1.164  metric 9
203.174.86.88 via 192.168.1.1 dev wlan0  proto static

готово

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #8 : 01 Сентября 2014, 12:15:39 »
Статический адрес (да про серверный адрес) - это неизменяемый со временем (интересует именно IP-адрес, а не DNS-имя). После уточнения понятий повторю вопрос: IP-адрес сервера статический?

Вы писали, что не можете найти галку "Использовать только для...". Можете показать скриншот закладки "Параметры IPv4" основного соединения (wlan0)

Оффлайн bukass

  • Активист
  • *
  • Сообщений: 976
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #9 : 01 Сентября 2014, 12:45:28 »
Там еще кнопочку "маршруты" ткнуть надо.
Всем пора в Изумрудный город, кому за умом, кому за сердцем.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #10 : 01 Сентября 2014, 12:46:59 »
А, да... точно.. стомильонов лет уже NM в глаза не видел )))

В догонку:
Так же и маршрут на сервер OVPN добавить сразу
2O3.174.86.BB 255.255.255.255 192.168.1.1 10
« Последнее редактирование: 01 Сентября 2014, 12:49:04 от fisher74 »

Оффлайн 3956934753

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #11 : 01 Сентября 2014, 13:03:41 »
Спасибо что разжевали. А разве DNS имя это это не IP адрес? Если нет, то поправьте меня. Мой Gateway sg.vpn.btguard.com и соответвенно его IP адрес 203.174.86.88. Возможно есть и другой, но его я не знаю :(

После подсказки нашел внутри основного соеднинения Wifi в подразделе Routes галочку: Use this connections only  for resources on this nerwork.



PS "в догонку": в какую строку мне добавить этот маршрут?
« Последнее редактирование: 01 Сентября 2014, 13:12:14 от 3956934753 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #12 : 01 Сентября 2014, 13:12:46 »
Нет, DNS имя это не IP адрес.

IP адрес - это конкретное место доставки трафика, а DNS имя - это символьная ссылка на какой-то адрес. А может и не на адрес, а на другое имя. DNS вообще штука очень мощная и гибкая, если знать, в каком направлении гнуть.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн 3956934753

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #13 : 01 Сентября 2014, 13:15:50 »
Скорее всего я не знаю IP адрес VPN сервера. Получается так :)
Значит у меня отсутствуют сведения о его статичности.
« Последнее редактирование: 01 Сентября 2014, 13:19:55 от 3956934753 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Блокировать весь трафик, который не через vpn.
« Ответ #14 : 01 Сентября 2014, 13:22:50 »
А разве DNS имя это это не IP адрес?
 Если нет, то поправьте меня
Поправляю: нет, IP-адрес и DNS-имя - не одно и тоже, хотя и могут указывать на один и тот же элемент сети.
DNS-имя придумано для людей, дабы им проще было запоминать адреса.

Мой Gateway sg.vpn.btguard.com и соответвенно его IP адрес 203.174.86.88. Возможно есть и другой, но его я не знаю :(
nslookup sg.vpn.btguard.com
показывает один IP-адрес, но это не значит, что он статический. Хотя если сервис серьёзный, то, скорее всего, с ним всё нормально



Пользователь решил продолжить мысль [time]01 Сентябрь 2014, 13:26:09[/time]:


PS "в догонку": в какую строку мне добавить этот маршрут?
Жмём Add и заполняем соответствующие позиции, ставил галку и проверяем без поднятого VPN таблицу маршрутизации (ip r) строчки с дефолтным маршрутом (0.0.0.0) быть не должно, но должен быть внесённый статический маршрут.
default via 192.168.1.1 dev wlan0  proto static
203.174.86.88 via 192.168.1.1 dev wlan0  proto static

Далее поднимает VPN и проверям его работу
« Последнее редактирование: 01 Сентября 2014, 13:28:45 от fisher74 »

 

Страница сгенерирована за 0.057 секунд. Запросов: 26.