LINUX.ORG.RU

История изменений

Исправление sany0k, (текущая версия) :

По уму стоит настроить у себя так, чтобы только опенвпн мог ходить через провайдера и только на определённый адрес и на определённый порт (на котором впн сервер слушает). Точных команд не скажу, но суть такая:

  • создать отдельного пользователя для опенвпн.
  • маркировать трафик опенвпн пользователя и заворачивать его в отдельную таблицу маршрутизации, где default - шлюз провайдера.
  • в своей таблице в качестве default должен быть впн туннель.
  • дополнительно в фаерволе запретить для опенвпн пользователя любой трафик, кроме как на ип и порт впн сервера.

Если нет сильно умных NetworkManager’ов, то такая схема ещё и защитит от потенциальных утечек трафика в обход впн, в том числе и при обрыве впн соединения.

Исправление sany0k, :

По уму стоит настроить у себя так, чтобы только опенвпн мог ходить через провайдера и только на определённый адрес и на определённый порт (на котором впн сервер слушает). Точных команд не скажу, но суть такая:

  • создать отдельного пользователя для опенвпн.
  • маркировать трафик опенвпн пользователя и заворачивать его в отдельный network namespace, где default - шлюз провайдера.
  • в своём network namespace в качестве default должен быть впн туннель.
  • дополнительно в фаерволе запретить для опенвпн пользователя любой трафик, кроме как на ип и порт впн сервера.

Если нет сильно умных NetworkManager’ов, то такая схема ещё и защитит от потенциальных утечек трафика в обход впн, в том числе и при обрыве впн соединения.

Исходная версия sany0k, :

По уму стоит настроить у себя так, чтобы только опенвпн мог ходить через провайдера и только на определённый адрес и на определённый порт (на котором впн сервер слушает). Точных команд не скажу, но суть такая: 1 - создать отдельного пользователя для опенвпн. 2 - маркировать трафик опенвпн пользователя и заворачивать его в отдельный network namespace, где default - шлюз провайдера. 3 - в своём network namespace в качестве default должен быть впн туннель. 4 - дополнительно в фаерволе запретить для опенвпн пользователя любой трафик, кроме как на ип и порт впн сервера.

Если нет сильно умных NetworkManager’ов, то такая схема ещё и защитит от потенциальных утечек трафика в обход впн, в том числе и при обрыве впн соединения.