Как запретить трафик в обход VPN (при обрыве)
Подскажите, пожалуйста, как в Windows 7 запретить утечку трафика для определенных программ или вообще всего трафика, которая происходит во время дисконнекта openVPN клиента?
То есть, если клиент внезапно стал disconnected весь трафик тут же блочился бы. Знаю, что есть программа IP Filter & Monitor, но может быть можно что-то полегче придумать. Спасибо за советы
Или наоборот – из супервизора лазать через VM и рубить там.
Не знаю, правильно или нет, но я эту проблему у себя решил следующим образом.
Есть ноутбук с WinXP (не Win7).
Скачиваем и устанавливаем OpenVPN. Ставим ПОЛНУЮ, а не портабле-версию.
http://openvpn.net/index.php/download.html
После установки openvpn в "Сетевых подключениях" появится новый VPN-интерфейс.
Скачиваем и устанавливаем виндовый порт BSD-фаервола WIPFW.
http://wipfw.sourceforge.net/index-ru.html
В рабочей папке wipfw (например c:\\wipfw) запускаем файл install-deny.cmd,
настраивая фаервол "закрытым по умолчанию".
Виндовый брэндмауэр отключаем (через "Службы") – вместо него будет работать wipfw.
В конфигурационный файл wipfw – c:\\wipfw\wipfw.conf – прописываем следующие
правила:
#-- начало файла --
-f flush
add allow all from any to any via lo*
add deny log all from any to 127.0.0.0/8 in
add deny log all from 127.0.0.0/8 to any in
add allow ip from any to any via eth6
add check-state
add deny log tcp from any to any established
add allow tcp from me to any 53 out keep-state setup
add allow udp from me to any 53 out keep-state
add allow tcp from me to any 443 out keep-state setup
add allow udp from me to any 1194 out keep-state
add deny log all from any to any
zero 65535
#-- конец файла --
Здесь "eth6" – имя вашего vpn-интерфейса, которое можно узнать через
консоль cmd.exe, командой
Перегружаем фаервол (применяем правила в конфиге) командой
Пытаемся установить внешнее соединение (через броузер, ping или др.).
Соединение устанавливаться НЕ ДОЛЖНО (что и требуется).
После этого запускаете VPN-GUI (openvpn-gui-1.0.3.exe) и
выбираем "connect", ждете когда установится vpn-соединение с
vpn-сервером (когда значок "позеленеет"), после чего снова
пытаетесь соединиться с внешними адресами.
На этот раз соединения должны устанавливаться без проблем.
Разумеется, что у вас уже должны иметься все необходимые ключи и
правильно настроенный vpn конфиг. Ключи и конфиг обычно выдает
владелец vpn-сервиса или вы создаете их самостоятельно.
Настройку и использование OpenVPN и WIPFW я уж описывать не буду –
можно поискать в интернете.
Кроме настройки файервола можно попробовать еще один способ, который я вычитал в интернете. Для недопущение проскакивания траффика "мимо" vpn-соединения (при его обрыве), нужно в vpn-конфиг добавить строчки:
route delete 0.0.0.0 mask 0.0.0.0
script-security 3
Сам так делать, правда, не пробовал, так что не знаю, работает этот вариант или нет.
попсовыйпопулярный ВПН сервис предлагал утилиту,к ак дополнение к своим услугам, которая блокировала трафик, если связь с ВПН серверами рвалась. По-моему, она где-то на хардах с софтом у меня есть. Скачал, помню, а зачем? Все равно не пользовался.Названия не помню, да и давно её убрали с сайта ВПН-прова.
может удастся вспомнить название?
здесь утилита
как мне воспользоваться знаниями?