[Linux Terminal] VPN Disconnect Leakage Prevention

[kaugummi]

Hallo,

wie schuetzt ihr euch unter linux vor VPN Disconnect Leakages, wenn ihr mit mit dem Terminal und OpenVPN die Verbindung initiert. Ich habe da einen Guide gefunden der mit "gufw" arbeitet.
http://ubuntuforums.org/showthread.php?t=1496473

Leider funkzioniert die Methode bei mir nicht. Muss man hier vielleicht etwas anderes noch beachten? Ich frage mich zum Beispiel, ob die DNS anfragen nicht auch mit Regeln belegt werden muessten, Aber eigentlich muessten diese ja getunnelt werden (in meinen Augen macht dies auch von der Sicherheit her ja schon Sinn).

 

[throwaway]

@kaugummi:

1.) Jeglicher VPN Traffic auf dem 'tun' Interface wird erlaubt, letztendlich können nur verschlüsselte Pakete zum VPN Server rausgehen. Dabei ist es egal, wann die Regel geladen wurden, je nach Distribution kannst du das über diverse Callbacks (je nach Distribution /etc/if-up.d und Konsorten), per /etc/network/interfaces (pre-up, post-down, und so weiter), per systemd, etc. automatisieren lassen.

2.) Anfragen an die PP DNS Server sind grundsätzlich nur mit bestehender PP VPN Verbindung möglich, bei Aufbau der Verbindung wird einmalig der gewünschte Hostname per Google DNS Server aufgelöst (in dem Script von dir 8.8.8.8 und 8.8.4.4, kann und sollte vielleicht geändert werden).

3.) Manche Firewalls blockieren den meisten UDP Traffic außer DNS Anfragen, OpenVPN TCP Traffic der letztendlich genau wie HTTPS SSL Traffix aussieht ist nur schwer zu blockieren (es sei denn man möchte als Netzwerkadministrator jeglichen verschlüsselten Traffic blockieren und somit ~20-30% aller Seiten unbrauchbar machen.). Performancetechnisch sollte es keine großen Unterschiede geben.

4.) Da weiß ich leider nicht was genau gemeint ist.

5.) Wenn deine Regel geladen werden, bevor dein OS die Netzwerkinterfaces initialisiert und somit IP Addressen zugewiesen hat, dann fließt nur noch verschlüsselter OpenVPN Traffic, siehe Antwort zu Frage Nr. 1