Как обеспечить доступ в интернет только через VPN

Question

У меня машина Windows 7 с обычным проводным подключением к Интернету, настроенная через DHCP. У него установлено VPN-соединение. Как я могу гарантировать, что доступ в Интернет разрешен только через VPN? То есть до подключения VPN я хочу, чтобы не было доступа к Интернету (кроме VPN-сервера). Если по какой-либо причине он отключается или не работает, я также хочу, чтобы к нему не было доступа.

Я уже прочитал руководства по этому вопросу, и, кажется, в основном есть 4 ответа, ни один из которых не работает для меня надежно:

1) Запустите некоторое программное обеспечение, которое обнаруживает, когда VPN отключается, и блокирует доступ в Интернет. Я не хочу на это полагаться, даже если это в основном работает. Я хочу решение "по умолчанию безопасно".

2) Удалить маршрут по умолчанию, который идет через реальный шлюз. Это почти работает, за исключением того, что иногда (не все время), когда VPN отключается, этот маршрут по умолчанию волшебным образом появляется вновь. Возможно, это происходит во время обновления DHCP, я не уверен.

3) Добавьте фиктивный маршрут по умолчанию, который проходит через несуществующий шлюз, с более низкой метрикой, чем реальный маршрут по умолчанию. Это не сработало для меня. Маршрут добавлен, но до подключения к VPN у меня все еще есть доступ в Интернет. route print показывает это:

Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0          1.2.3.1        1.2.3.123    276
          0.0.0.0          0.0.0.0  192.168.198.250    192.168.198.1     22

где 1.2.3.1 обозначает мой реальный шлюз, а 192.168.198.250 - фальшивый шлюз на адаптере VMware. Он использует реальный шлюз, хотя фальшивая метрика ниже. Я также пытался добавить фальшивый шлюз в реальной сети, но его метрика всегда заканчивается выше - параметр "метрика" route add кажется, относится к метрике интерфейса.

4) Брандмауэр. Может быть жизнеспособным вариантом, но http://www.purevpn.com/win7-firewall.php говорит

Примечание: Торрент-программы являются исключением из этого - для торрентов этот метод эффективен только на 99%, оставляя 1% вероятности утечки данных.

Я не уверен, почему это так, и страница не дает подробностей, но это немного беспокоит.

Answer 1

Определенно 4-й вариант - но в идеале брандмауэр на вашем маршрутизаторе, а не ПК Я не мог найти ссылку на утечку данных, но это звучит как много FUD для меня. (Это также может быть связано с утечкой DNS-запросов, когда вы ищете конкретное доменное имя, и они попали в ловушку. Ключевым моментом здесь является обеспечение того, чтобы DNS-запросы также проходили через VPN - если вас беспокоит утечка информации о вас из DNS)

Answer 2

4) Брандмауэр. Может быть жизнеспособным вариантом, но http://www.purevpn.com/win7-firewall.php говорит

Примечание: Торрент-программы являются исключением из этого - для торрентов этот метод эффективен только на 99%, оставляя 1% вероятности утечки данных.

Я не уверен, почему это так, и страница не дает подробностей, но это немного беспокоит.

Предложенные настройки PureVPN используют блокировку на основе портов. Это может пропускать некоторый трафик, поскольку удаленные торрент-клиенты могут прослушивать любой порт, который они хотят.

Если вы используете блокировку на основе IP (или обе), этот недостаток устраняется.