скорее всего вопрос в том, как запретить любой софтине идти в интернет если впн отключается я частично решал этот вопрос вписав левые днс в интернет соединение. конфиг опенвпна правил чтобы конект шел на ип а не на домен. но если впн отваливается в момент загрузки сайта скажем, то страница продолжит загружаться и без впна. Еще некоторый софт клиенты конектит к ип. Опишите как правильно настроить фаервол для подобных целей.
Да, решение только частичное. Установлению соединений на деле ничего не мешает, просто проблема в разрешении имени. Если использовать Proxifier с удаленным резолвингом имен, это может не помочь. Если вместо доменного имени будет указан IP, софт использует собственный DNS-сервер, если имя узла уже разрешено и сохранено в кэше DNS, тогда 100% ничем не поможет. Легко, только нужен специально собранный (скомпиленный с нужной опцией) OpenVPN клиент. Есть команда конфига, позволяющая запускать внешний скрипт при разрыве соединения. Например, это может быть .bat файл с командой, убивающей таблицу маршрутизации. После такого злодейства ОСь просто не будет знать, на какой интерфейс слать IP пакеты. Соответственно, сеть умрет, для восстановления таблицы маршрутов придется переподключаться к интернету. В конец конфига OpenVPN нужно добавить команду В .bat-файле прописать (поместить его в папку с конфигами): Эта команда удалит основной шлюз из таблицы маршрутизации, интернет работать не будет. Проверить, будет ли срабатывать команда, можно очень просто: при подключенном VPNе отключитесь от интернета, ВПН упадет. Посмотрите лог подключения VPNa. Если клиент сконфигурирован так, что внешние команды не выполняются, в логе будет об этом запись. Если VPN-клиент не дружит с вызовом внешних команд, можно извернуться. Самому вручную запускать другой .bat файл после подключения к VPNу. Этот файл будет: Для начала предупрежу, что химичить с маршрутами, ничего в них не понимая, чревато. Во-первых, если у вас сложная сеть, требующая для своей работы изменений в таблице маршрутизации, вы рискуете угробить постоянные маршруты. Эти маршруты обычно создаются при настройке подключения к интернету (некоторые провайдеры дают инсталляторы, которые записывают в реестр все нужные маршруты). В итоге ни сеть, ни интернет работать не будут. И это не так страшно. Гораздо хуже, если вы "настроите" маршрутизацию так, что пакеты, которые должны идти только на интерфейс VPN подключения, будут транслироваться в сеть провайдера. В этом случае пакеты будут бегать по незашифрованному каналу. Короче, прежде чем что-то делать, советую хорошенько почитать мануалы о маршрутизации и ее настройке. Чтобы было представление. Или найти спеца, который сможет вам все настроить, если со знаниями сетей совсем туго. В-общем, никаких гарантий, что у вас будет работать все как надо (и что вы нигде не затупите при настройке) я не даю. Это не пошаговая инструкция для чайников. Структура вашей сети и схема подключения к интернет могут быть гораздо сложнее. Это всего лишь иллюстрация на простейшем примере GPRS + VPN, чтобы вы могли понять, в какую сторону копать. Теперь "легенда" или расшифровка обозначений: Где все эти IP откопать? В настройках интерфейсов. Подключаетесь к интернету, подключаетесь к ВПНу. Запускаете командную строку (cmd), вводите: Программа выведет на экран подробную информацию о всех включенных TCP интерфейсах, с указанием вашего IP, адреса основного шлюза, ДНС серверов и прочего. Какой интерфейс относится к подключению к интернету, а какой - к ВПНу поймете по заголовкам. Будет что-то примерно такое: Код: Подключение по локальной сети 2 - Ethernet адаптер: DNS-суффикс этого подключения . .: Описание . . . . . . . . . . . . : виртуальная сетевая карта ВПНа Физический адрес . . . . . . . . : FF-FF-FF-FF-FF-FF Dhcp включен . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : XXX.XXX.XXX.XXX Маска подсети . . . . . . . . . . : 255.255.255.FFF Основной шлюз . . . . . . . . . . : YYY.YYY.YYY.YYY DHCP-сервер . . . . . . . . . . . : ZZZ.ZZZ.ZZZ.ZZZ DNS-серверы . . . . . . . . . . . : AAA.AAA.AAA.AAA Аренда получена . . . . . . . . . : 11 января 2009 г. 13:51:27 Аренда истекает . . . . . . . . . : 11 января 2009 г. 13:51:27 Мой GPRS интернет - PPP адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-00-00-00-00-00 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : BBB.BBB.BBB.BBB Маска подсети . . . . . . . . . . : 255.255.255.EEE Основной шлюз . . . . . . . . . . : CCC.CCC.CCC.CCC DNS-серверы . . . . . . . . . . . : DDD.DDD.DDD.DDD NetBIOS через TCP/IP. . . . . . . : отключен где: Теперь пишем наш block.bat-файл: Вызываем файл через командную строку так (IP через пробелы после имени батника): Вуаля, ОСь не знает другой дороги в интернет, кроме как через основной шлюз ВПНа. Если упадет ВПН, даже если вы от него отключитесь, других маршрутов в интернет не будет. "любые коннекты не через впн" запрещены. P.S. Кстати, только что заметил, в ведь описана вкратце подобная фишка. ___________________________________________________________ Да, скажем, Outpost Firewall предусматривает возможность фильтрации IP пакетов. Но настройка этой блокировки на деле - это та еще ебота. Сразу всплывут конфликты в приоритетах правил: низкоуровневых, для приложений, глобальных, с высоким приоритетом. При фильтрации IP пакетов придется отказаться от большинства правил для приложений и глобальных. Поэтому резать связь при помощи маршрутизации мне кажется более правильно. Однако фаервол может пригодиться для проверки работы VPN. В аутпосте лезем в Настройки->Журналы->Уровень регистрации, низкоуровневые события ставим в третье (предпоследнее) положение. Идем в журнал событий->Журнал пакетов. При включенном VPN обмен пакетами должен идти между вашей машиной (IP в сети провайдера) и VPN сервером (его внешним IP). Если какие-то пакеты идут на другие адреса, значит что-то действует в обход ВПНа (скорее всего, что-то не так с маршрутизацией). P.S. если из обсуждения что-то толковое выйдет, могу статью сделать и описать в ней этот способ поподробнее. Так что спрашивайте, комментируйте, поправляйте.
На этом форуме в раздле софта нашел, автора данного поста не запомнил, так что не сочтите за копипаст (просто я скидываю нужные мне ссылки в тхт, для последующей закачки с другога компа) вот ссылка - h tt p://www.sendspace.com/file/kaqs8i
Ты скорее всего OpenVPN пользуешься. Он обычно не поправляет таблицу маршрутов, когда проваливается или переподключается. Хотя наверняка многое зависит от того как именно и из-за чего упал ВПН, а также настроек клиента.
Если у вас не используется сугубо специфические настройки/софт, то практического смысла в блоке всех соединений не через впн я не вижу. Единственый вариант когда такое может понадобится - это если вы боитесь что полезете в интернет забыв включить впн.
Я вроде видел пост, кто то скидывал софт, который решает эту проблему, если есть у кого нибудь, скиньте плиз, тоже интересует.
