Удобная безопасность на OpenVpn

Когда то потребовалось организовать рабочее место так, чтобы исключить такую вероятность как утечка трафика (ip) мимо vpn в случаях разрыва соединение. Не просто уменьшить вероятность, а вообще исключить такую возможность.

В основе лежит виртуальная машина (virtualbox). Были разные варианты с созданием дополнительной виртуалки, которая будет выступать промежуточным шлюзом с поднятым openvpn и фильтом трафика, если будет разрыв. Но всё это было неудобно, геморойно. В итоге пришёл к приобретению дополнительного роутера, на котором и будет поднят openvpn. В моём случае это Mikrotik, но подобрать можно много других вариантов.

Смысл простой. В моём компе 2 сетевухи. Первая - смотрит в главный роутер-1. Вторая в роутер-2 (где поднят openvpn). Виртуалка Виртуалбокс Сеть - сетевой мост со 2м интерфейсом.

Роутер-2 подключён к роутеру-1. На роутере-2 постоянно поднят openvpn. Шлюз по умолчанию к роутер-1 удаляю.

В таблице маршрутизации в ручную прописываю роут до ip адреса openvpn сервера. С помощью NAT настраиваю выход трафика через openvpn-интерфейс.

В результате получается, что трафик который попадает на роутер-2 идёт сразу в openvpn туннель. Если коннекта нет с впн, то трафик никуда не уйдёт, т.к. дефолтного (0.0.0.0/0) маршрута НЕТ. В фаерволе можно дополнительно понаписать своих правил, чтобы было.

Также, не забываем про DNS. В роутере-2 убираем все записи о днсах из роутера-1 и вставляем например гугл-днс (8.8.8.8 и 8.8.4.4.4). Настраиваем так, чтобы пользователю, подключившемуся к роутеру-2 выдавались именно эти днс. Это так же исключит возможность успешного резолва ненужных адресов, т.к. маршрутизация до этих ip будет отсутствовать в случае отсутствия поднятого опенвпн.

Это 1 шаг, который даёт безопасность в скрытие вашего настоящего ип. Но нам и этого мало. В самой виртуалке уже можно использовать любой другой впн, сокс.



Это очень краткая схема. Если нужны подробности в виде конкретных настроек, скриншотов под мой роутер, могу расписать.

вставляем например гугл-днс (8.8.8.8 и 8.8.4.4.4). не хорошая идея .

Delete

днс трафик тоже будет идти через туннель, поэтому мимо)

Пока что не понял зачем что бы сетевая смотрела в роутер 1, но суть в том, что при подобной схеме, есть еще один минут, который заключается в том что палится ip внс при rtc а следовательно нужно еще 2 дополнительных роута и тогда будет легитный адрес и днс кх и роутера и ничего лишнего

Добавлено через 1 минуту 57 секунд
По этому более актуально, как поднять ddwtr x86 что бы при этом при перезапуске сохранялся конфиг

Если настолько хочется юзать публичные DNS, вместо DNS твоего vpn-а например, то тогда стоит накатить dnsCrypt. Из плюсов:
+днс-запросы шифрованные, ваш провайдер вообще не будет видеть какие сайты вы посещаете
+не маленький список DNS-серверов разных стран
+многие DNS-сервера не ведут логов

Роутер 1 это главный роутер с интернетом от провайдера. В него смотрит сетевуха-1. Через неё идёт весь трафик с компьютера.
А виртуалка имеет выход через сетевуху-2, которая смотрит в роутер-2 (опенвпн)
Этим мы исключаем любую вероятность прохода трафика через канал провайдера (в т.ч. днс)

палится только ип выданный, роутером-2.
В моей схеме рекомендовано использовать дополнительный впн в самом виртуалбоксе, тогда WebRTC выдаст ип этого впн сервиса.

В моей схеме днс запросы идут через туннель. (гугл днс)

Да но ты не понял сути вопроса. Я за то что первый роутер не где не должен смотреть что т овроде Инет-Роут1Ван-Роут1Лан-Роут2Ван-АПОпенВПНСервер-Роут2Лан-Лан1-Вируалка+ОпенВпнКлиент но а там уже почти правильно пишешь, т.к. в данной схеме должен быть между роутером 1 и 2 приватный впн, а не вирт, т.к. к провайдеру ты пускаешь траф в открытом виде