Uma conexão VPN ignora o firewall de um roteador?

As VPNs por si só não ignoram os firewalls, elas "passam por eles". Deixe-me tentar explicar isso com mais detalhes.

Quando seu computador deseja obter conteúdo para, por exemplo, uma página da Web específica, ela cria uma solicitação HTTP. Esse pacote é empacotado em um pacote TCP, o nome do site é resolvido para um endereço IP e o pacote TCP é entregue à camada IP para roteamento. A camada IP decide, com base no endereço IP e em suas tabelas de roteamento, para onde enviar o pacote (o roteador de próximo salto, que geralmente é o seu gateway padrão). Ele encapsula o pacote TCP em um datagrama IP, coloca o endereço MAC do próximo roteador hop nele e o entrega à interface ethernet, que transmite todo o shebang para o fio.

Os firewalls funcionam na camada IP de todo esse mecanismo (bem, geralmente funcionam). Seu roteador / gateway / modem SOHO normal terá um firewall que permite conexões de saída e qualquer pacote de retorno para eles.

Agora, o que acontece quando você estabelece uma conexão VPN? O cliente VPN cria uma conexão com um servidor VPN em algum outro lugar. A parte importante é que ele também altera suas tabelas de roteamento, o que geralmente resulta no fato de que a camada IP agora roteia todo ou parte do tráfego de saída para o cliente VPN, em vez de sair diretamente da interface. O cliente VPN então encapsula todo o datagrama IP em outro pacote TCP (e neste exato momento o pacote original torna-se efetivamente invisível para a camada IP), e este pacote agora é enviado para o servidor VPN (que o desembrulha e passa para o servidor VPN). ).

O efeito líquido disso é o de um "túnel". As regras de firewall e roteamento que normalmente se aplicam a um pacote são "ignoradas", empurrando o pacote através da conexão VPN. O que também significa que, se o túnel da VPN manuseia ALL o seu tráfego de saída, então quaisquer mecanismos de proteção que sejam aplicados no roteador SOHO agora são ineficazes.

Espero que isso explique o significado de "contornar" neste contexto.

Para o máximo de lulz, eles estão ambos errados - e ambos estão corretos.

Uma VPN permitirá o tráfego que poderia ter sido bloqueado por um firewall intermediário , simplesmente porque o tráfego não é parecido com o que as regras de firewall foram projetadas para bloquear. Por exemplo, se um firewall for configurado para bloquear todas as conexões de entrada destinadas à máquina interna, esse tráfego não será bloqueado pelo firewall se estiver encapsulado na VPN, pela simples razão de que o tráfego, da perspectiva do firewall, parece o tráfego da VPN.

Por outro lado, o firewall ainda é capaz de ter regras que resultam em bloquear o próprio tráfego da VPN (independentemente do que o tráfego da VPN é ), se configurado para isso (o que significaria que sua VPN não funcionaria) - portanto, você precisa estar ciente das regras de firewall a esse respeito.

Além disso, os firewalls nos pontos de extremidade da VPN podem afetar o tráfego, pois eles podem ver o tráfego conforme ele sai do túnel da VPN e se torna tráfego regular. Eu suspeito que o serviço de firewall do Vypyr é algo que filtra o tráfego antes que ele entre na VPN e viaje até o seu endpoint, poupando-lhe o custo de ter que carregar esse tráfego apenas para derrubá-lo.

"não ignora o firewall do seu roteador". está errado, pelo menos para uma compreensão intuitiva do "bypass": o que você obtém é uma interface de rede no seu computador que parece estar diretamente conectada à sua rede. Então eu teria pensado que o firewall do sistema operacional se aplica, mas o roteador não pode ver nenhum dos pacotes. Vypr está correto.