Удобная безопасность на OpenVpn

pisun · #1 03-05-2025, 11:44 PM

Когда то потребовалось организовать рабочее место так, чтобы исключить такую вероятность как утечка трафика (ip) мимо vpn в случаях разрыва соединение. Не просто уменьшить вероятность, а вообще исключить такую возможность.
В основе лежит виртуальная машина (virtualbox). Были разные варианты с созданием дополнительной виртуалки, которая будет выступать промежуточным шлюзом с поднятым openvpn и фильтом трафика, если будет разрыв. Но всё это было неудобно, геморойно. В итоге пришёл к приобретению дополнительного роутера, на котором и будет поднят openvpn. В моём случае это Mikrotik, но подобрать можно много других вариантов.
Смысл простой. В моём компе 2 сетевухи. Первая - смотрит в главный роутер-1. Вторая в роутер-2 (где поднят openvpn). Виртуалка Виртуалбокс Сеть - сетевой мост со 2м интерфейсом.
Роутер-2 подключён к роутеру-1. На роутере-2 постоянно поднят openvpn. Шлюз по умолчанию к роутер-1 удаляю.
В таблице маршрутизации в ручную прописываю роут до ip адреса openvpn сервера. С помощью NAT настраиваю выход трафика через openvpn-интерфейс.
В результате получается, что трафик который попадает на роутер-2 идёт сразу в openvpn туннель. Если коннекта нет с впн, то трафик никуда не уйдёт, т.к. дефолтного (0.0.0.0/0) маршрута НЕТ. В фаерволе можно дополнительно понаписать своих правил, чтобы было.
Также, не забываем про DNS. В роутере-2 убираем все записи о днсах из роутера-1 и вставляем например гугл-днс (8.8.8.8 и 8.8.4.4.4). Настраиваем так, чтобы пользователю, подключившемуся к роутеру-2 выдавались именно эти днс. Это так же исключит возможность успешного резолва ненужных адресов, т.к. маршрутизация до этих ip будет отсутствовать в случае отсутствия поднятого опенвпн.
Это 1 шаг, который даёт безопасность в скрытие вашего настоящего ип. Но нам и этого мало. В самой виртуалке уже можно использовать любой другой впн, сокс.
Это очень краткая схема. Если нужны подробности в виде конкретных настроек, скриншотов под мой роутер, могу расписать.

TomBrownJm · #2 03-06-2025, 12:11 AM

вставляем например гугл-днс (8.8.8.8 и 8.8.4.4.4). не хорошая идея

.
http://www.dnsleaktest.com

imposition · #3 03-06-2025, 12:20 AM

Delete

pisun · #4 03-06-2025, 12:37 AM

днс трафик тоже будет идти через туннель, поэтому мимо)

adamlayman · #5 03-06-2025, 12:46 AM

Пока что не понял зачем что бы сетевая смотрела в роутер 1, но суть в том, что при подобной схеме, есть еще один минут, который заключается в том что палится ip внс при rtc а следовательно нужно еще 2 дополнительных роута и тогда будет легитный адрес и днс кх и роутера и ничего лишнего
Добавлено через 1 минуту 57 секунд
По этому более актуально, как поднять ddwtr x86 что бы при этом при перезапуске сохранялся конфиг

rigit888 · #6 03-06-2025, 12:53 AM

Если настолько хочется юзать публичные DNS, вместо DNS твоего vpn-а например, то тогда стоит накатить dnsCrypt. Из плюсов:
+днс-запросы шифрованные, ваш провайдер вообще не будет видеть какие сайты вы посещаете
+не маленький список DNS-серверов разных стран
+многие DNS-сервера не ведут логов

pisun · #7 03-06-2025, 01:02 AM

Quote:

Originally Posted by qwerty888

Пока что не понял зачем что бы сетевая смотрела в роутер 1

Quote:

Originally Posted by qwerty888

палится ip внс при rtc

Quote:

Originally Posted by Sirius

+днс-запросы шифрованные, ваш провайдер вообще не будет видеть какие сайты вы посещаете

Роутер 1 это главный роутер с интернетом от провайдера. В него смотрит сетевуха-1. Через неё идёт весь трафик с компьютера.
А виртуалка имеет выход через сетевуху-2, которая смотрит в роутер-2 (опенвпн)

Этим мы исключаем любую вероятность прохода трафика через канал провайдера (в т.ч. днс)
палится только ип выданный, роутером-2.
В моей схеме рекомендовано использовать дополнительный впн в самом виртуалбоксе, тогда WebRTC выдаст ип этого впн сервиса.

В моей схеме днс запросы идут через туннель. (гугл днс)

adamlayman · #8 03-06-2025, 01:07 AM

Quote:

Originally Posted by Mozizo

Роутер 1 это главный роутер с интернетом от провайдера. В него смотрит сетевуха-1. Через неё идёт весь трафик с компьютера.
А виртуалка имеет выход через сетевуху-2, которая смотрит в роутер-2 (опенвпн)

Этим мы исключаем любую вероятность прохода трафика через канал провайдера (в т.ч. днс)
палится только ип выданный, роутером-2.
В моей схеме рекомендовано использовать дополнительный впн в самом виртуалбоксе, тогда WebRTC выдаст ип этого впн сервиса.

В моей схеме днс запросы идут через туннель. (гугл днс)

Да но ты не понял сути вопроса. Я за то что первый роутер не где не должен смотреть что т овроде Инет->Роут1Ван->Роут1Лан->Роут2Ван->АПОпенВПНСервер->Роут2Лан->Лан1->Вируалка+ОпенВпнКлиент но а там уже почти правильно пишешь, т.к. в данной схеме должен быть между роутером 1 и 2 приватный впн, а не вирт, т.к. к провайдеру ты пускаешь траф в открытом виде