Como proteger a conexão PPTP - Windows 7?

Isso pode ser feito configurando um firewall para permitir apenas conexões ao IP do provedor de VPN e / ou à porta TCP 1723 e à porta UDP 47.

Se você estiver usando vários provedores de VPN, o bloqueio baseado em porta será mais fácil. Caso contrário, o bloqueio baseado em IP é mais seguro. Em qualquer caso, você pode usar os dois.

Por exemplo, você pode configurar o Firewall do Windows para fazer isso:

1. Vamos supor que você esteja usando superfreevpn.com ( 69.60.121.29 ).

2. Conecte-se à Internet e sua VPN.

3. Pressione Win + R e execute control /name Microsoft.NetworkandSharingCenter .

4. Em Visualize suas conexões ativas , clique no link Página inicial / Trabalho / Rede pública abaixo da sua conexão com a Internet e escolha Rede pública .

5. Em Visualize suas conexões ativas , clique no link Página inicial / Trabalho / Rede pública abaixo da sua conexão VPN e escolha Rede de trabalho .

6. Pressione Win + R e execute WF.msc .

7. No Firewall do Windows com Segurança Avançada no Computador Local , clique em Ação e, em seguida, em Propriedades , vá para o Perfil Privado strong> tab e defina o seguinte:

   Firewall state:        On (recommended)
   Inbound connections:   Block all connections
   Outbound connnections: Allow (default)
   

8. Baseada em porta

   • Em Regras de saída , clique em Ação , depois em Nova regra ... e selecione o seguinte:

     Port
     TCP
        Specific remote ports: 1-1722, 1724-65535
     Block the connection
     Public
     Public TCP
     

   • Em Regras de saída , clique em Ação , depois em Nova regra ... e selecione o seguinte:

     Port
     UDP 
         Specific remote ports: 1-46, 48-65535
     Block the connection
     Public
     UDP
     

   baseado em IP

   • Em Regras de saída , clique em Ação , depois em Nova regra ... e selecione o seguinte:

     Custom
     All programs
     Any
     Any IP address
     These IP adresses
         Add
             This IP address range -> From: 0.0.0.0      To: 69.60.121.28
         Add
             This IP address range -> From: 69.60.121.30 To: 255.255.255.255
     Block the connection
     Public
     Non-VPN
     

9. Como bloqueamos todas as consultas DNS não VPN agora, superfreevpn.com não será resolvido.

   Modifique sua conexão VPN substituindo o nome do host por seu IP ou adicione a seguinte linha a %windir%\system32\drivers\etc\hosts :

   69.60.121.29    superfreevpn.com
   

Adaptado livremente de Como configurar o firewall de modo que quando a VPN for desconectada, toda a navegação será interrompida .

Um leve acréscimo à excelente resposta de Dennis : se sua conexão com a Internet estiver configurada para usar DHCP (como a maioria é) você não conseguirá obter um endereço IP a menos que você exclua o endereço do servidor DHCP e o endereço de broadcast 255.255.255.255.

Execute ipconfig /all (enquanto o DHCP ainda funciona) para encontrar o endereço do seu servidor DHCP. Digamos que seja 192.168.2.1 e o servidor VPN seja 69.60.121.29 , como no exemplo de Dennis. Você configuraria o bloqueio para os seguintes intervalos de IP:

From 0.0.0.0      to 69.60.121.28
From 69.60.121.30 to 192.168.1.255
From 192.168.2.2  to 255.255.255.254

Como uma solução temporária, você também pode desativar a regra de firewall de saída que bloqueia tudo. Isso é útil se você já "perdeu" seu endereço IP e não sabe o endereço do seu servidor DHCP.

(Crédito para Marcks Thomas pela resposta original . Estou apenas adicionando-o a esta pergunta, caso outros usuários encontrem o mesmo problema.)

Outra adição não relacionada: pode ser uma boa ideia desabilitar a descoberta de rede e o compartilhamento de arquivos e impressoras para redes Home / Work se você seguir as etapas acima, já que configurou todo Internet como sua rede "Work". Você pode fazer isso em Central de Rede e Compartilhamento , Alterar configurações avançadas de compartilhamento .

Resposta alternativa - usando rotas

Você pode remover a rota padrão por meio de sua conexão real com a Internet e adicionar uma rota apenas ao servidor VPN. Isso é mais simples do que o Firewall do Windows, mas há um problema: o Windows adicionará novamente a rota padrão sempre que se conectar a uma rede. Você pode contornar isso usando o Agendador de Tarefas para fazer as alterações sempre que se conectar.

Um bom bônus é que você também pode conectar-se automaticamente à VPN sempre que se conectar a uma rede, desde que tenha o nome de usuário e a senha salvos.

Primeiro, crie um arquivo em lote como este:

@ECHO OFF

REM IP address of the real gateway you use to connect to the Internet
SET REAL_GATEWAY_IP=192.168.2.1

REM (External) IP address of the VPN server
SET VPN_SERVER_IP=69.60.121.29

REM Delete default route via the real gateway
route delete 0.0.0.0 %REAL_GATEWAY_IP%

REM Add a route to the VPN server via the real gateway
route add %VPN_SERVER_IP% mask 255.255.255.255 %REAL_GATEWAY_IP% metric 1

REM To connect to the VPN (optional):
rasphone -d "My VPN connection name"

Em seguida, adicione uma tarefa agendada no Agendador de Tarefas para executar o arquivo em lote com o gatilho configurado assim:

Vocêtambémpodedesmarcaraopção"Iniciar a tarefa somente se o computador estiver com energia AC" na guia Condições e selecionar "Executar se o usuário está conectado ou não" na guia Geral.

As rotas devem ser atualizadas sempre que você se conectar a uma rede e você puder verificá-las executando route print - não deve haver nenhuma rota para a 0.0.0.0 através do gateway real.