Блокировать весь трафик, который не через vpn.

[Sequensor]

Имеем сомнительную вай-фай сеть, интернет раздается через роутер. На компе с убунтой установлен опенвпн клиент, коннект происходит к серверу в интернете. Как сделать так, чтобы при случайном разрыве опенвпн-соединения не допустить прохождения трафика в интернет "напрямую", т.е. не через впн?

ситуация 1 в 1 как здесь , только, похоже автор не нашёл там решения.

[AnrDaemon]

Указать использовать подключение только для ресурсов в локальной сети и вручную поднимать маршрут до VPN сервера перед подключением.

[fisher74]

ситуация 1 в 1 как здесь , только, похоже автор не нашёл там решения.

Нашёл или нет - это только ему, тому топикстартеру, известно, а вот решение я ему дал самое простое и самое рабочее.
Собственно его AnrDaemon и повторил

[meinung]

fisher74,
AnrDaemon,
иди  срисовав  адрес который  дает ТД  присвоить его  ручками    не  указывая шлюза, а  потом естественно добавить маршрут  только к  впн серверу

[fisher74]

meinung, зачем, спрашивается такой геморрой? Что-то там срисовывать, потом регулярно ловить, чтобы не было конфликта адресов в сети и т.д. и т.п.? Надо всё настраивать так, чтобы вмешательство пользователя было минимальным. Поставил галку "использовать только для ресурсов этой сети", добавил один статический маршрут и всё, все заботы кончились. В случае не NM всё тоже самое делается в dhclient.

PS "Лучше день потерять, а потом за пять минут долететь" ©

[3956934753]

Всем здравствуйте!

Помогите новичку правильно настроить VPN, дабы избежать утечек трафика. К сожалению из 2-х прочитанных тем (за 20011 и эту, за 2013) мне не ясно, как это сделать, поэтому я был бы премного благодарен за более подробную консультацию (с перечислением благодарности в виде WMZ на ваш счет).

В наличии: Ubuntu 14.04 ENG, + Java + Flash. Firefox с отлюченными куки. Установлен OpenVPN manager (sudo apt-get install network-manager-openvpn). С сервисом VPN работаю через установленный сертификат, полученный с сайта сервиса, тип аутентификации - пароль.

Цель: необходима система, при которой до подключения к VPN (или при его обрыве) трафик бы не уходил на прямую, а также избежать DNS утечек в связи с установленными Flash и Java.

Заранее благодарен.
PS Надеюсь на подробное объяснение, так как начинающий убунтовод.

[fisher74]

адрес сервера статический?
и ip a; ip r в студию

[3956934753]

Сразу хочу предупредить, если я чего-то не понимаю, это не значит что я не хочу это понять, просто некоторые моменты возможно еще не знаю

Адрес сервера VPN? Если да, то статический, в конфигурации VPN пишу его в самой верхней строке  Gateway:

pc:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 00:24:54:66:2c:8b brd ff:ff:ff:ff:ff:ff
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether c4:17:fe:a0:bc:42 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.164/24 brd 192.168.1.255 scope global wlan0
       valid_lft forever preferred_lft forever
    inet6 fe80::c617:feff:fea0:bc42/64 scope link
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.10.10.30 peer 10.10.10.29/32 brd 10.10.10.30 scope global tun0
       valid_lft forever preferred_lft forever


pc:~$ ip r
default via 10.10.10.29 dev tun0  proto static
10.10.10.1 via 10.10.10.29 dev tun0  proto static
10.10.10.29 dev tun0  proto kernel  scope link  src 10.10.10.30
192.168.1.0/24 dev wlan0  proto kernel  scope link  src 192.168.1.164  metric 9
203.174.86.88 via 192.168.1.1 dev wlan0  proto static

готово

[fisher74]

Статический адрес (да про серверный адрес) - это неизменяемый со временем (интересует именно IP-адрес, а не DNS-имя). После уточнения понятий повторю вопрос: IP-адрес сервера статический?

Вы писали, что не можете найти галку "Использовать только для...". Можете показать скриншот закладки "Параметры IPv4" основного соединения (wlan0)

[bukass]

Там еще кнопочку "маршруты" ткнуть надо.

[fisher74]

А, да... точно.. стомильонов лет уже NM в глаза не видел )))

В догонку:
Так же и маршрут на сервер OVPN добавить сразу
2O3.174.86.BB 255.255.255.255 192.168.1.1 10

[3956934753]

Спасибо что разжевали. А разве DNS имя это это не IP адрес? Если нет, то поправьте меня. Мой Gateway sg.vpn.btguard.com и соответвенно его IP адрес 203.174.86.88. Возможно есть и другой, но его я не знаю

После подсказки нашел внутри основного соеднинения Wifi в подразделе Routes галочку: Use this connections only  for resources on this nerwork.



PS "в догонку": в какую строку мне добавить этот маршрут?

[AnrDaemon]

Нет, DNS имя это не IP адрес.

IP адрес - это конкретное место доставки трафика, а DNS имя - это символьная ссылка на какой-то адрес. А может и не на адрес, а на другое имя. DNS вообще штука очень мощная и гибкая, если знать, в каком направлении гнуть.

[3956934753]

Скорее всего я не знаю IP адрес VPN сервера. Получается так
Значит у меня отсутствуют сведения о его статичности.

[fisher74]

А разве DNS имя это это не IP адрес?
 Если нет, то поправьте меня

Поправляю: нет, IP-адрес и DNS-имя - не одно и тоже, хотя и могут указывать на один и тот же элемент сети.
DNS-имя придумано для людей, дабы им проще было запоминать адреса.

Мой Gateway sg.vpn.btguard.com и соответвенно его IP адрес 203.174.86.88. Возможно есть и другой, но его я не знаю

nslookup sg.vpn.btguard.com
показывает один IP-адрес, но это не значит, что он статический. Хотя если сервис серьёзный, то, скорее всего, с ним всё нормально


Пользователь решил продолжить мысль [time]01 Сентябрь 2014, 13:26:09[/time]:

PS "в догонку": в какую строку мне добавить этот маршрут?

Жмём Add и заполняем соответствующие позиции, ставил галку и проверяем без поднятого VPN таблицу маршрутизации (ip r) строчки с дефолтным маршрутом (0.0.0.0) быть не должно, но должен быть внесённый статический маршрут.
default via 192.168.1.1 dev wlan0  proto static
203.174.86.88 via 192.168.1.1 dev wlan0  proto static
Далее поднимает VPN и проверям его работу