Si OpenVPN se bloque ou perd la connexion, peut-il revenir en mode silencieux à la route par défaut?
J'ai mis en place OpenVPN et cela fonctionne. Cependant, il y a une chose dont je doute: sur la machine cliente, le routage après le démarrage d'OpenVPN ressemble à ceci:
0.0.0.0/1 via 10.8.0.5 dev tun0
default via 192.168.1.1 dev enp3s0 proto dhcp src 192.168.1.33 metric 1024
10.8.0.1 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
128.0.0.0/1 via 10.8.0.5 dev tun0
Si OpenVPN se bloque ou perd la connexion, peut-il revenir en mode silencieux à la route par défaut, numéro de ligne 2? De cette façon, la connexion du client à Internet générique ne sera pas protégée sans avertissement. Cela peut-il arriver? Dois-je écrire des scripts pour supprimer les anciens itinéraires après le démarrage du VPN?
J'ai fait des recherches et découvert que j'avais raison. C’est en effet comme je le craignais6 que les applications de déconnexion VPN reviennent en silence sur la route par défaut. Pour éviter cela, je devrais utiliser un pare-feu.
# Default policies
ufw default deny incoming
ufw default deny outgoing
# Openvpn interface (adjust interface accordingly to your configuration)
ufw allow in on tun0
ufw allow out on tun0
# Local Network (adjust ip accordingly to your configuration)
ufw allow in on enp3s0 from 192.168.1.0/24
ufw allow out on enp3s0 to 192.168.1.0/24
# Openvpn (adjust port accordingly to your configuration)
ufw allow out on enp3s0 to any port 1194
ufw allow in on enp3s0 from any port 1194
Et si vous avez besoin de DNS pour accéder à votre serveur VPN:
# DNS
ufw allow in from any to any port 53
ufw allow out from any to any port 53
Dans tous les cas sauf votre cas, votre vpn utilise effectivement la route par défaut pour obtenir le point de terminaison vpn. VPN est généralement implémenté sous forme de tunnel dans un réseau privé via des réseaux externes non approuvés. Cela rend le trafic invisible.
Lorsque votre connexion VPN perd la synchronisation, le tunnel peut avoir du mal à capter quelques paquets, mais finit par être abandonné de votre côté et votre trafic n'ira pas plus loin que votre extrémité du tunnel vpn. Cela devrait amener votre application au logiciel à générer une erreur. Toutefois, il s'agit d'un protocole spécifique, car certains tentent automatiquement de reprendre sur toute connexion disponible, tandis que d'autres sont liés à des spécificités de sécurité, de performances ou d'exigences opérationnelles.
Il faut être prudent avec l'utilisation du VPN lorsque vous devez cacher ce que vous faites, c'est le DNS. Toutes les solutions VPN n'envoient pas les requêtes DNS via le lien VPN. Cela revient à donner une liste des hôtes auxquels vous accédez aux propriétaires du serveur DNS. ou quiconque peut flairer le trafic entre les deux.