1

Я не знаю много о сети, поэтому у этого вопроса могут быть некоторые базовые заблуждения.

Я использую OpenVPN 2.4.6 (сервер) и OpenVPN GUI 11.10.0.0 (клиент).

Мой сервер настроен с:

push "redirect-gateway def1"

На странице справки OpenVPN опция «redirect-gateway» «автоматически выполняет [s] команды маршрутизации, чтобы заставить весь исходящий IP-трафик перенаправляться через VPN».

Я волнуюсь, что может произойти следующее.

  1. Мой DHCP-клиент отправляет сообщение об обнаружении DHCP. Это сообщение не проходит через VPN.
  2. DHCP-сервер моего интернет-провайдера отвечает предложением IP-адреса.
  3. Мой DHCP-клиент запрашивает предложенный IP-адрес и получает подтверждение. Опять этот запрос не идет через VPN.
  4. Я подключаюсь к VPN.
  5. Срок аренды моего не-VPN IP-адреса истекает.
  6. Мой DHCP-клиент просит продлить аренду. Этот запрос проходит через VPN.
  7. Теперь мой интернет-провайдер может связать мой не-VPN-IP-адрес с моим VPN-IP-адресом, основываясь на информации, предоставленной моим DHCP-клиентом на шагах 1, 3 и 6.

Например, говорят, что dhcpcd включает MAC-адрес вашего сетевого адаптера в свои запросы. (См. Http://klamp.works/2016/04/29/dhcp.html.)

Это действительная проблема? Если так, как я могу решить это?

Я могу ошибаться, но мне кажется, что одним из решений является настройка моего VPN-сервера с помощью:

push "redirect-gateway def1 bypass-dhcp"

На man-странице OpenVPN флаг bypass-dhcp "[a] dd [s] прямой маршрут к серверу DHCP (если он не локальный), который обходит туннель (доступен на клиентах Windows, может быть недоступен на -Окна клиентов).

Я использую опцию redirect-gateway, потому что, если я этого не сделаю, при подключении к VPN и просмотре dnsleaktest, он показывает мой не-VPN IP-адрес, а не VPN-IP-адрес.

Спасибо и, пожалуйста, дайте мне знать, если я могу предоставить дополнительную информацию.

1 ответ1

1

Это нас беспочвенное беспокойство, потому что DHCP применяется только к определенному интерфейсу - а интерфейс VPN не обрабатывает запросы DHCP (я упрощаю здесь - он может обрабатывать запросы DHCP, но только через туннель в режиме TAP - но эти шрифты иди иди своего провайдера в незашифрованном виде, и точно так же он не будет здесь запросы от вашего провайдера.)

Возможна утечка, если вы используете серверы имен вашего интернет-провайдера (которые могут быть назначены с помощью DHCP), и они находятся в той же подсети, что и интерфейс WAN.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .