Запретить любые соеденения кроме VPN + раздать интернет через альфу?

[ruscat]

Задача:
Есть ноут с Win7. На нем стоит DoubleVPN. OpenVPN конфиг.
Нужно запретить прямо жестко все соединения без ВПНа, но при этом с ноута, через USB + адаптер Alfa раздавать интернет на другие устройства.
Настройку брандмауера делал, но проблем в том, что правила слетели после экстренного выключения и восстановления Windows.
Итоговая задача, чтобы не было протечек на телефоне при подключении по WiFi.

 

[Grotendique]

А в чем проблема еще раз настроить после восстановления?
Или ты каждый день экстренно восстанавливаешь систему?

 

[ruscat]

А в чем проблема еще раз настроить после восстановления?
Или ты каждый день экстренно восстанавливаешь систему?

Проблем нету, ищу более лучшее и надежное решение.

 

[AmperVolt]

Это конечно не прямой ответ на основании вводных данных, но всё же, более лучшее и надежное решение это прошить подходящий роутер на openwrt, а там у тебя будет уйма вариантов. Д-линк трехсотые хорошо подходят.

 

[ruscat]

Про роутеры я знаю, можно и без Openwrt на базе самого роутера, через настройки фаервола.
Интересует именно схема, что описана выше.

 

[SkyFrode]

1. Определение текущего шлюза​

Для определения текущего интернет-шлюза по умолчанию следует воспользоваться командой ipconfig в Командной строке Windows. IP указанный в поле Основной шлюз сетевого соединения с интернетом и будет являться IP-адресом шлюза по умолчанию.

2. Определение IP входящего VPN-сервера​

Прежде чем прокинуть весь трафик через VPN-цепь и запретить трафику иные пути, следует определить IP-адрес входящего сервера выбранной VPN-цепи.

Только для одиночных (Single) цепей IP входящего сервера (единственного сервера в VPN-цепи) равен выходному IP-адресу VPN-цепи, для остальных видов VPN-цепей IP входящего сервера (сервера подключения) отличается от выходного IP-адреса полученного при подключении к данной цепи.

Для любой VPN-цепи независимо от протокола подключения (OpenVPN или SoftEther) и типа (Single, Double и др.) IP-адрес входящего VPN-сервера явно или посредством домена зашит в файле конфигурации конкретной цепи.

Во всех списках и архивах DeepWebVPN, за исключением архивов с именем ip-all.zip (OpenVPN ip-all.zip, SoftEther ip-all.zip), на сервер подключения указывает домен, в архивах ip-all.zip явно прописан IP-адрес входящего сервера.

Чтобы узнать хост подключения достаточно открыть конфигурационный файл VPN-цепи через приложение Блокнот. IP/домен подключения в OpenVPN-конфигах прописан как параметр remote, в SoftEther-конфигах как параметр string Hostname.

Для примера в конфиге одиночной OpenVPN-цепи с RSA-ключом домен VPN-сервера прописан в строке следующего вида:

remote xxx.example-server.domain.com 1194

В данном примере домен будет равен xxx.example-server.domain.com.

Для примера в конфиге любой SoftEther-цепи (как одиночной, так и двойной и прочих видов) домен VPN-сервера прописан в строке следующего вида:

string Hostname xxx.example-server.domain.com/tcp

В данном примере домен будет равен xxx.example-server.domain.com.

Чтобы узнать на какой IP-адрес указывает домен достаточно открыть Командную строку Windows и ввести команду ping указав домен в качестве параметра.

3. Настройка маршрутизации трафика исключительно через VPN-подключение​

Выбрав VPN-цепь для подключения и перед настройкой маршрутизации следует, в соответствии с данными ниже, узнать шлюз в локальной сети VPN (в VPN-туннеле).

Шлюз VPN-туннеля DeepWebVPN для single-rsa – 10.100.0.1, single-ecc – 10.101.0.1, single-ssl – 192.168.234.1, double-rsa – 10.110.0.1, double-ecc – 10.111.0.1, double-ssl – 192.168.244.1.

Определив интернет-шлюз по умолчанию, узнав IP-адрес входящего VPN-сервера выбранной цепи, а также успешно подключившись к данной VPN-цепи, можно перейти к настройке маршрутизации запрещающей обход VPN-подключения. Для этого достаточно в Командной строке Windows, запущенной от имени администратора, определить входящий VPN-сервер как шлюз по умолчанию.

В листингах ниже xxx.xxx.xxx.xxx – IP-адрес входящего VPN-сервера, yyy.yyy.yyy.yyy – шлюз по умолчанию, zzz.zzz.zzz.zzz – шлюз VPN-туннеля.

route delete 0.0.0.0 mask 0.0.0.0


route add -p xxx.xxx.xxx.xxx mask 255.255.255.0 yyy.yyy.yyy.yyy


route add -p 0.0.0.0 mask 0.0.0.0 zzz.zzz.zzz.zzz

На скриншоте пример для цепи double-rsa-lu2-de1, IP-адрес 104.244.76.31 принадлежит серверу LU2 (IP-адрес сервера может измениться), 192.168.0.1 – шлюз по умолчанию, 10.110.0.1 – шлюз VPN-туннеля.

4. Сброс настроек маршрутизации​

Чтобы привести маршрутизацию к виду по умолчанию достаточно в Командной строке Windows, запущенной от администратора, сбросить правила введенные в пункте 3.

route delete xxx.xxx.xxx.xxx mask 255.255.255.0 yyy.yyy.yyy.yyy


route delete 0.0.0.0 mask 0.0.0.0 zzz.zzz.zzz.zzz


route add -p 0.0.0.0 mask 0.0.0.0 yyy.yyy.yyy.yyy

На скриншоте пример сброса маршрутизации введенной для цепи double-rsa-lu2-de1, где IP-адрес 104.244.76.31 принадлежит серверу LU2 (IP-адрес сервера может измениться), 192.168.0.1 – шлюз по умолчанию, 10.110.0.1 – шлюз VPN-туннеля.

 

[ruscat]

Ну это тот же виндовый фаерволл. Он слетает, при восстановлении системы, если винда была выключена экстренно.

 

[5vas1]

Задача:
Есть ноут с Win7. На нем стоит DoubleVPN. OpenVPN конфиг.
Нужно запретить прямо жестко все соединения без ВПНа, но при этом с ноута, через USB + адаптер Alfa раздавать интернет на другие устройства.
Настройку брандмауера делал, но проблем в том, что правила слетели после экстренного выключения и восстановления Windows.
Итоговая задача, чтобы не было протечек на телефоне при подключении по WiFi.

можь чего не так понял но по решению проблем:
1) все оттестированные правила брандмауера на винде можно автоматически сохранять и восстанавливать в спец. файлы
и даже можна автоматом все это делать, если хочется его далее юзать

2) на ноуте лучше поставить прокси-сервер вот например такой Kerio WinRoute Firewall он будет раздавать доступ к интернету
и вести учет всех посещений и прочего и кроме прочего он отличный и файервол и может организовать VPN-доступ
очень круто что можно его админить через веб-браузер и кончено удаленно админить

 

[ruscat]

Спасибо!

 

[5vas1]

не надо пугаться что он имеет лицензии и прочее
все лечиться и есть много версий
вот описалово https://www.ixbt.com/soft/kerio-winroute-firewall.shtml