Альтернативный способ во второй части. Линк.
Здравствуйте.
Хоть в CryptoVPN GUI и присутствует функция запрета интернет траффика без подключенного впн, к сожалению она срабатывает не всегда. Это происходит по нескольким причинам: начиная от специфических настроек вашего компьютера и заканчивая использованием 4G(и других) модемов, которые переписывают маршруты не спрашивая об этом пользователя что приводит к сбоям в срабатывании блокировки.
Подстраховаться от утечки траффика можно достаточно распространенным в узких кругах способом: установкой и настройкой файрвола.
Мы покажем, как заблокировать траффик в системе так, чтобы он не шел с выключенным впн(и даже выключенным gui), мы покажем на примере Comodo Firewall 2012 Free в OS Windows 7. А также продемонстрируем, что в этом нет ничего сложного.
Блокировать траффик мы будем следующим образом:
1. Запретим траффик на всех сетевых интерфейсах.
2. Разрешим на интерфейсе openvpn.
3. Разрешим доступ с основного интерфейса только к ip адресам серверов cryptovpn.com
Для начала скачиваем брандмауэр отсюда(cfw_installer.exe)и устанавливаем его(процесс установки примитивен, описывать его нет смысла).
После установки файрвола и перезагрузки компьютера открываем окно Comodo и переходим в раздел Политики сетевой безопасности на вкладку Глобальные правила:
Все удаляем.
Создаем новое правило.
Действие: Блокировать
Протокол: TCP или UDP
Направление: Входящие и Исходящие
Описание: Блокировка
Вкладка Адрес отправления:
Тип: MAC-адрес
(вводим мак вашего сетевого адаптера. Найти его можно так:
1. Жмем Пуск - Выполнить - cmd.exe
2. В открывшемся окне терминала вводим ipconfig /all и из списка адаптеров зарегистрированных в системе выбираем нужный нам и в графе физический адрес видим нужный нам mac-адрес. Важно! Не перепутайте адаптер сетевого устройства и виртуальный tap32 адаптер.)
Вкладка Адрес назначения:
Тип: Единичный адрес IPv4
IP адрес: ip адрес нужного нам впн сервера.
Жмем галочку Исключить(т.е. не то, что выбрано ниже).
После этого жмем ОК.
На этом этапе настройка фаервола закончена.
Осталось только настроить сами сетевые интерфейсы чтобы доменные имена резолвились не через днс сервер выданный вашем провайдером автоматически, а через наш сервер, разрешенный в фаерволе.
Для этого идем в Панель управления\Сеть и Интернет\Сетевые подключения и в свойствах подключения выбираем Протокол Интернета версии 4 (TCP/IPv4), нажимаем Свойства и вместо пункта Получить адрес DNS-сервера автоматически, выбираем Использовать следующие адреса DNS-серверов. Ниже вводим наш ip, который разрешен в файрволе. (Вводить можно как один ип так и два, если второй вы также разрешите в файрволе).
Вводить ip адреса наших серверов в качестве днс нужно даже если вы не файрволите систему, а только для того, чтобы flash и java не "палили" ваши реальные днс сервера, а соответственно и провайдера.
После выполнения всех процедур интернет на компьютере "пропадет". И появится только тогда, когда вы подключитесь к впн серверу(ip которого вы разрешили в файрволе). Будет доступен как и обычный openvpn, так и DoubleVPN со входом на указанном вами сервере, а выходом - любым.
Важно! Если вы хотите использовать разные сервера и иметь возможность переключаться между ними, то необходимо добавить соответствующие правила в фаервол для каждого ip адреса аналогичным образом.
CryptoVPN.com гарант вашей безопасности!
P.S.
Следует запомнить, что нужно всегда проверять работает ли блокировка до начала работы.
Если галочка "запретить интернет без впн" стоит, это вовсе не значит, что блокировку не надо проверять. Всегда нужно тестировать систему до начала работы, чтобы потом не удивляться, что траффик идет напрямую. Ведь модем от YOTA купили вы, и ответственность за действия его прошивки, больше напоминающие действия шпионского софта, несете только вы.
Многие клиенты задают интересный вопрос: А чего это вы не сделаете файрвол внутри вашего gui?
Отвечаем: для всего есть свои инструменты. Например, забивание гвоздей головой может и интересное занятие, но абсолютно бессмысленное. Также как превращение cryptovpn gui в полноценный файрвол.
Безопасной работы.
А как в месте где надо прописывать айпи адресс по 3 числа надо вводить, что делать если на моем айпи по 2 числа ?
ReplyDeleteЧто за чушь...
Delete