Защита от разрывов связи в OpenVPN

[sad_taliban]

Часто происходит так, что после неожиданного разрыва связи с vpn приложения начинают ломиться в интернет в обход тунеля. как это предотвратить? думаю нужно как то поднять виртуальный интерфейс, на кoторый завернуть всю интернет активность в системе (кроме самого openvpn) и раздавать в этот интерфейс инет с локального адреса тунеля. соответственно после разрыва все приложения будут ломиться на этот адрес, а его нет.
Либо как то фаерволом?
Помогите плз, хз как сделать. Система Windows 7

[masolit]

повесить http-прокси на VPN, и через прокси ебенить софт

[sad_taliban]

Цитата:

Сообщение от masolit

повесить http-прокси на VPN, и через прокси ебенить софт

а скайп? и прочий софт который коннектится не по http

[DoctorFake]

Цитата:

Весь вопрос в том, что когда загружается ос, разный софт лезет в инет за всякой чепухой: обновления, дополнения, восстановление сессий да и просто отстук хозяевам. Как то это не вписывается в нашу концепцию секюрности и анонимности.. надо поправить это упущение и отрубить весь сегмент интернета от компьютера до тех пор, пока мы не авторизируемся на впн сервере. Самое правильное решение - это конечно убрать с компьютера все впн клиенты и настройки, а прошить свой домашний роутер DD-WRT прошивкой и поднять OpenVPN в нём, но это достаточно сложное занятие. Проще всего на своём компьютере настроить таблицу маршрутов. Вот как это можно сделать:

Получаем адрес ВПН сервера, например так C:\>ping se.webmastervpn.com, и видим, что ip этого пула 178.73.212.4
Получаем свой дефраут и DNS сервера C:\>ipconfig /all
IP-адрес . . . . . . . . . . . . : 192.168.1.148
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DHCP-сервер . . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 8.8.8.8
Добавляем за КАЖДЫЙ свой ДНС и за КАЖДЫЙ нужный ВПН постоянные маршруты на свой старый дефраут
C:/>route add -p 8.8.8.8 192.168.1.1
C:/>route add -p 178.73.212.4 192.168.1.1
Ну и вообще говоря загибаем за старый дефраут все нужные(позволенные) нам ресурсы, которым мы разрешаем работать без впн.
Загибаем маршруты на "левый" ИП (который лежит в одной сетке с дефраутом, но таковых не является).
C:/>route add -p 0.0.0.0 mask 128.0.0.0 192.168.1.2
C:/>route add -p 128.0.0.0 mask 128.0.0.0 192.168.1.2
проверяем.. ребутим комп. маршруты постоянные, т.е. прописывать нужно их ТОЛЬКО ПЕРВЫЙ РАЗ. НО! при запуске ВПН после его выключения он маршрут своего ИП удаляет даже из постоянных маршрутов поэтому перед КАЖДЫМ запуском нужно маршрут на конкретный ВПН восстанавливать записываем в командный файл C:/>route add -p 178.73.212.4 192.168.1.1 и запускаем его перед запуском OpenVPN. Или делаем bat_ник, который запускает восстановление маршрута, а потом запускает OpenVPN.
чтобы восстановить состояние исходное (Интернет БЕЗ ВПН) удаляем постоянные маршруты:
C:/>route delete -p 0.0.0.0 mask 128.0.0.0 192.168.1.2
C:/>route delete -p 128.0.0.0 mask 128.0.0.0 192.168.1.2

Понятно, откуда это

[Сплин]

А на маках как сделать чтобы при разрыве l2tp никуда не ломилось?

[Aston Martim]

Сплин, можешь встроенным ipfw запретить. Для него вот гуи есть https://www.macupdate.com/app/mac/23317/waterroof

[sspy]

Цитата:

Сообщение от sklip

Либо ставим впн на роутер. С прошивкой Опенврт. Она с этим справляется

а там разве проблема с разрывами решена ?

[mironich]

vpn watcher, но некоторые говорят не всегда срабатывает другие хвалят.

[Сплин]

mironich, Спасибо, вроде бы работает.

[N-rets]

Давно попадался мануал по настройке стандартного виндового фаервола для этих целей. С тех пор так всегда и делаю. Быстро, просто и без стороннего софта.
Основная суть, чтобы запретить все коннекты, и отдельно правилами разрешить их для всех .exe от openvpn
В итоге все коннекты через сеть, статус которой домашняя - запрешены. А впн соединение остается общественной и пакеты идут.