Como apropriadamente (com segurança) desligar / conectar-se a uma VPN com o OpenVPN no Debian?

1

Qual é a maneira correta, segura e conveniente de conectar uma VPN sobre o OpenVPN no Debian 9.1 com o KDE?

É isso:

  • executando sudo openvpn --config config-path no console e deixando a janela do console aberta para conectar / ficar conectado
  • Pressionando ctrl + c para desconectar

Com a maneira mais segura e conveniente, quero dizer algo que potencialmente também me permitiria alterna entre IPs no OpenVPN sem tráfego não-VPN e garante (ou me permite garantir) que estou conectado à minha VPN o tempo todo com o OpenVPN .

    
por mYnDstrEAm 02.09.2017 / 15:48

2 respostas

1

Uma maneira segura e fácil é usar iptables porque funciona mesmo antes e depois do dispositivo tun estar disponível.

openvpn_if=tun0
vpn_only_addresses=(192.168.123.4 10.1.2.3)
for ip in "${vpn_only_addresses[@]}"; do
    iptables -A OUTPUT -d "$ip" -o "$openvpn_if" -j ACCEPT
    iptables -A OUTPUT -d "$ip" -j DROP
done

Talvez algo semelhante possa ser feito com roteamento avançado. Talvez ip rule possa trabalhar com regras de interface de saída mesmo quando a interface não existe. Mas isso é mais complicado que esta solução da Netfilter.

    
por 02.09.2017 / 20:25
1

Como se conectar com segurança ao openvpn?

A partir dos documentos do openvpn:

Executando o cliente OpenVPN com o arquivo de configuração do cliente baixado:

Usually, the easiest way to install an OpenVPN client is to use the --config argument to specify the location of the downloaded client config file:

openvpn --config client.ovpn 

Você pode usar a opção --daemon para executar o openvpn em background como um daemon de acordo com o openvpn manpages :

--daemon [progname]

Become a daemon after all initialization functions are completed. This option will cause all message and error output to be sent to the syslog file (such as /var/log/messages), except for the output of scripts and ifconfig commands, which will go to /dev/null unless otherwise redirected. The syslog redirection occurs immediately at the point that --daemon is parsed on the command line even though the daemonization point occurs later. If one of the --log options is present, it will supercede syslog redirection.

openvpn --config client.ovpn --daemon

Como desconectar com segurança o openvpn?

De acordo com a página de manual e o documentos oficiais openvpn aceita SIGINIT e SIGTERM sinais permitindo que openvn saia com segurança.

SIGINT, SIGTERM Causes OpenVPN to exit gracefully.

    
por 03.09.2017 / 12:16