DNS на маршрутизаторе отвечает за получение URL-адреса веб-сайта и определение IP-адреса и пути маршрутизации, который позволяет достичь и загрузить сайт.
VPN работает в задней части существующей сети и требует, чтобы соединение было установлено через маршрутизатор, прежде чем VPN-соединение может быть запущено.
Решение здесь (хорошо, обходной путь) будет состоять в том, чтобы заблокировать любые веб-сайты, которые вам нужны, чтобы запретить доступ к использованию конфигурации фильтрации вашего маршрутизатора, а затем запретить подключение всех VPN через маршрутизатор.
VPN является довольно широким термином (например, транспортное средство или установка), и конкретный метод, используемый для установления VPN-соединения, может сильно отличаться от одного приложения к другому.
Хорошее начало - попытаться заблокировать протокол IKE, который используется для установки безопасного туннеля IPSEC.
IPSEC создает зашифрованное соединение между двумя конечными точками, и все данные, передаваемые по соединению, направляются через этот туннель. Можно с уверенностью поспорить, что если вы подключаетесь к VPN, IPSEC, вероятно, является механизмом, используемым для ее предоставления (хотя, чтобы предотвратить шквал исправлений, я полностью осознаю, что IPSEC - не единственный способ, которым это можно сделать, это просто довольно скорее всего).
IKE (Internet Key Exchange) - это протокол, используемый для безопасного обмена ключами шифрования, используемыми для шифрования туннеля. Заблокируйте это, и вы остановите создание туннеля.
IKE использует UDP-порт 500 во время подключения на этапе 1, поэтому блокировки этого порта на брандмауэре маршрутизатора может быть достаточно.
Это можно обойти, но, учитывая все проблемы безопасности сети, необходимо сбалансировать риск с усилиями по внедрению решения.
Блокировка порта должна быть достаточной, чтобы не позволить большинству людей подключаться к VPN, и, безусловно, будет достаточной для домашней сети.
В качестве дополнительного уровня безопасности вы можете включить фильтрацию MAC-адресов на маршрутизаторе, чтобы только известные устройства могли подключаться без проводов.
