Como forçar o sistema a usar somente conexão criptografada VPN?

0

Eu uso vários sistemas operacionais em meus clientes (Ubuntu, Mint, Alpine, Windows 7-10) e gostaria de acessar minha rede doméstica por meio de VPN e, por exemplo, em um hotel em que gostaria de navegar na Internet. minha conexão de internet em casa.

Eu li um artigo interessante aqui . Ele alega que, se a conexão VPN não for estabelecida e você tiver conexão de rede (por exemplo, servidor VPN não está em execução, o cliente ainda não está conectado etc.), o computador cliente usará a rede local sem encapsulamento em vez da VPN. Eu acho que o mesmo pode acontecer se eu perder a conexão com o meu servidor VPN por algum motivo e eu nem sequer reconhecer que eu envio metade das mensagens não criptografadas. Existe uma maneira de impedir que isso aconteça e forçar todos os aplicativos em um computador cliente a usar apenas o túnel VPN?

Encontrei algumas questões semelhantes no tópico, que eram, por exemplo, específicas do Win7. O que estou procurando é uma solução geral. Então, em teoria, qual é a receita para fazer isso em qualquer sistema Windows e Linux (sem detalhes específicos do sistema), e se não for possível, então por que?

    
por inf3rno 08.12.2017 / 05:44

1 resposta

1

As abordagens gerais são:

  • Impede que pacotes indesejáveis sejam enviados usando o firewall.
  • Ajuste a tabela de roteamento para que os pacotes nunca passem pelo caminho direto.

O primeiro método pode ser implementado através da filtragem de pacotes de saída com base em seu endereço source , pois você terá endereços diferentes para a sub-rede LAN e para o túnel VPN. (Claro, você precisa adicionar uma exceção para o próprio cliente VPN).

O segundo, removendo a rota "padrão" existente (0.0.0.0/0 ou :: / 0) para que os pacotes sejam imediatamente retornados com erros de "Rede inacessível". Novamente, você precisa configurar uma exceção para o servidor VPN, adicionando uma rota muito estreita (possivelmente até / 32 ou / 128).

Alguns sistemas operacionais também suportam "domínios de roteamento", "VRFs" ou "namespaces de rede" que limitam quais interfaces de rede um programa ainda - para que você possa criar um namespace separado para o cliente VPN e atribua a interface Ethernet física a ele. (Os programas restantes serão forçados a usar o que restar, por exemplo, no Linux, uma interface virtual "veth" para comunicação entre entre namespaces.)

    
por 08.12.2017 / 12:17