Я установил OpenVPN и он работает. Однако есть одна вещь, в которой я сомневаюсь: на клиентском компьютере маршрутизация после запуска OpenVPN выглядит следующим образом:
0.0.0.0/1 via 10.8.0.5 dev tun0
default via 192.168.1.1 dev enp3s0 proto dhcp src 192.168.1.33 metric 1024
10.8.0.1 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
128.0.0.0/1 via 10.8.0.5 dev tun0
Если OpenVPN падает или теряет соединение, может ли он молча вернуться к маршруту по умолчанию, строка № 2 ? Таким образом, подключение клиента к общему Интернету будет незащищенным без предупреждения. Это может случиться? Нужно ли писать сценарии для разрушения старых маршрутов после запуска VPN?
Я провел некоторое исследование и узнал, что был прав. Это действительно как я feared6 после того, как разъединение VPN apllications тихо вернется к маршруту по умолчанию. Для предотвращения этого я должен использовать брандмауэр.
# Default policies
ufw default deny incoming
ufw default deny outgoing
# Openvpn interface (adjust interface accordingly to your configuration)
ufw allow in on tun0
ufw allow out on tun0
# Local Network (adjust ip accordingly to your configuration)
ufw allow in on enp3s0 from 192.168.1.0/24
ufw allow out on enp3s0 to 192.168.1.0/24
# Openvpn (adjust port accordingly to your configuration)
ufw allow out on enp3s0 to any port 1194
ufw allow in on enp3s0 from any port 1194
И если Вам нужен DNS для доступа к серверу VPN:
# DNS
ufw allow in from any to any port 53
ufw allow out from any to any port 53
Во всех кроме самого странного из случаев Ваш vpn действительно на самом деле использует маршрут по умолчанию для получения vpn конечной точки. VPN обычно реализована как туннель в частную сеть по внешним небезопасным сетям. Это делает трафик невидимым.
, Когда Ваше соединение VPN освобождает синхронизацию, туннель мог бы бороться за несколько пакетов, но в конечном счете отбрасывается в Вашем конце, и Ваш трафик не доберется далее, чем Ваш конец туннеля vpn, обычно это будет некоторым броским видом сетевого устройства. Это должно заставить Ваше приложение к программному обеспечению повышать ошибку, однако это - протокол, конкретный, поскольку некоторые автоматически попытаются возобновиться по любым доступным другим соединения, связываются со специфическими особенностями для безопасности, производительности или операционных требований.
Что-то, чтобы быть осторожным относительно с использованием VPN, когда необходимо скрыть то, что Вы делаете, является DNS, не, все решения VPN отправляют запросы DNS по ссылке VPN, это похоже на предоставление списка хостов, к которым Вы получаете доступ владельцам сервера DNS или любого, кто может осуществить сниффинг промежуточного трафика.