Ich möchte, dass jede Verbindung in einer virtuellen Maschine (Windows XP) NUR meinen OpenVPN-Server verwendet. Sobald die Verbindung zu OpenVPN verloren geht, möchte ich die gesamte Internetverbindung in der VM verlieren. Natürlich wird der Host der VM (Windows 7) niemals eine Verbindung zum VPN herstellen oder die Verbindung zu meinem realen Internet trennen.
Ich bin ziemlich sicher, dass ich dies mit dem Windows-Befehl tun kann route, der nur meinem Windows XP-Rechner erlaubt, sich mit meinem OpenVPN-Server zu verbinden, sagen wir mal1.2.3.4.
Ich bin dieser Anleitung gefolgt:http://community.spiceworks.com/how_to/show/1334 aber ich schaffe es nicht einmal, ihre Beispiele zum Laufen zu bringen.
Hier sind meine Routenkonfigurationen durch Ausgabe des Befehlsroute print
Routing vor der OpenVPN-Verbindung:
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.108 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.108 192.168.1.108 30
192.168.1.108 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.1.255 255.255.255.255 192.168.1.108 192.168.1.108 30
224.0.0.0 240.0.0.0 192.168.1.108 192.168.1.108 30
255.255.255.255 255.255.255.255 192.168.1.108 192.168.1.108 1
255.255.255.255 255.255.255.255 192.168.1.108 3 1
Default Gateway: 192.168.1.1
===========================================================================
Persistent Routes:
None
nach OpenVPN-Verbindung (Beachten Sie, dass 1.2.3.4 meine echte VPN-IP ersetzt hat):
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.108 30
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
1.2.3.4 255.255.255.255 192.168.1.1 192.168.1.108 1
192.168.1.0 255.255.255.0 192.168.1.108 192.168.1.108 30
192.168.1.108 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.1.255 255.255.255.255 192.168.1.108 192.168.1.108 30
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 192.168.1.108 192.168.1.108 30
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 192.168.1.108 192.168.1.108 1
Default Gateway: 10.8.0.5
===========================================================================
Persistent Routes:
None
Antwort1
Nach einigem Herumprobieren habe ich eine Lösung für mein Problem gefunden:
Um zu verhindern, dass versehentliche oder zufällige Trennungen von einem VPN Ihre echte IP-Adresse preisgeben, müssen Sie alle Ziele mit Ausnahme Ihrer VPN-IP-Adresse über ein gefälschtes Gateway leiten.
An die Netzwerk-/Computerexperten:
Unter der Annahme des Folgenden:
Normales Standard-Gateway:192.168.1.1
Unbenutzte private IP:192.168.1.222
IP des OpenVPN-Servers:1.2.3.4
Mit cmd:
route -p add 0.0.0.0 mask 0.0.0.0 192.168.1.222 metric 2
route -p add 1.2.3.4 mask 255.255.255.255 192.168.1.1 metric 1
Deaktivieren Sie dann DCHP, indem Sie dem Adapter eine statische IP-Adresse zuweisen und die ungenutzte private IP als gefälschtes Standard-Gateway verwenden. Dadurch werden alle Verbindungen außer der Ihres OpenVPN blockiert.
Für diejenigen, die eine schrittweise Vorgehensweise benötigen:
Als Erstes müssen Sie die Eingabeaufforderung öffnen. Halten Sie dazu die Windows-Taste (die Taste rechts neben der linken Strg-Taste) gedrückt und drücken Sie R. Ein Dialogfeld wird angezeigt. Geben Sie „cmd“ ein und drücken Sie die Eingabetaste.
Es sollte ein schwarzes Kästchen mit einer Aufschrift erscheinen. Dies wird als Eingabeaufforderung bezeichnet und alle von nun an eingegebenen Befehle werden in diesem schwarzen Kästchen ausgeführt.
Als Erstes müssen Sie herausfinden, dass das gefälschte Gateway innerhalb der Netzwerkschnittstelle liegen muss. Was ist die „Schnittstelle“? Nun, in diesem Fall ist es die private IP, die dem Computer zugewiesen wurde, was angesichts meiner „Pre-OpenVPN“-Tabelle zwei Optionen zu sein scheint: entweder 127.0.0.1oder 192.168.1.108. Ich weiß aus Erfahrung, dass 127.0.0.1 eine Loopback-IP ist, also habe ich die Auswahl eingegrenzt. Wenn ich meine IP-Adresse jedoch nicht kennen würde, könnte ich auf „Ausführen“ klicken, die Windows-Taste + R drücken, cmd eingeben und auf „OK“ drücken. Ein schwarzes Kästchen erscheint und ich gebe den CMD-Befehl ein ipconfigund erhalte eine Ausgabe wie:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.108
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
Dort wird mir insbesondere mitgeteilt, dass meine IP-Adresse und damit „Schnittstelle“ lautet 192.168.1.108, mein Fake-Gateway muss also im Bereich 192.168.1.100bis liegen 192.168.1.254und darf nicht bereits verwendet werden.
Angenommen, ich möchte die IP verwenden 192.168.1.101. Um zu prüfen, ob sie verwendet wird, gebe ich den Befehl ein ping 192.168.1.101und erhalte eine Antwort wie diese:
Pinging 192.168.1.101 with 32 bytes of data:
Reply from 192.168.1.101: bytes=32 time=1ms TTL=64
Reply from 192.168.1.101: bytes=32 time=1ms TTL=64
Reply from 192.168.1.101: bytes=32 time=1ms TTL=64
Reply from 192.168.1.101: bytes=32 time=1ms TTL=64
Ping statistics for 192.168.1.101:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
Das würde bedeuten, dass die IP-Adresse 192.168.1.101derzeit vergeben ist und ich cannotsie für mein Fake-Gateway verwende. Also entscheide ich mich, es mit IP zu versuchen 192.168.1.222und gebe denselben Ping-Befehl ein: ping 192.168.1.222. Wenn die Antwort wie folgt lautet:
Pinging 192.168.1.222 with 32 bytes of data:
Reply from 192.168.1.100: Destination host unreachable.
Reply from 192.168.1.100: Destination host unreachable.
Reply from 192.168.1.100: Destination host unreachable.
Reply from 192.168.1.100: Destination host unreachable.
Ping statistics for 192.168.1.222:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Dann hätte ich erfolgreich eine private IP gefunden, die derzeit nicht verwendet wird und die ich für mein Fake-Gateway verwenden kann. Für den Rest der Antwort werde ich sie 192.168.1.222als mein Fake-Gateway verwenden.
Der nächste Schritt besteht darin, jeden einzelnen Zielversuch durch unser gefälschtes Gateway zu schicken und nicht durch das echte. Dazu geben wir diesen Befehl ein:
route -p add 0.0.0.0 mask 0.0.0.0 192.168.1.222 metric 2
das 0.0.0.0 mask 0.0.0.0bedeutet, dass "jede einzelne Adresse" an das Gateway gesendet wird 192.168.1.222. Der metric 2Teil weist dieser Route eine Priorität von2- dies ist wichtig, weil eine Priorität (Metrik) von1hat Vorrang vor einer Priorität von2.
Wenn Sie ihm den Wert 2 zuweisen, erhält es eine höhere Priorität als das von Ihrem DHCP zugewiesene Gateway, das bei mir 30 war. Dies bedeutet, dass jedes Ziel versucht, das Gateway 192.168.1.222 und nicht das echte Gateway zu passieren, wodurch jede Verbindung, die Sie herstellen möchten, im Wesentlichen ins Nirgendwo umgeleitet wird.
Sie können die Richtigkeit Ihres Befehls überprüfen, indem Sie den ipconfigBefehl erneut eingeben:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.108
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.222
192.168.1.1
Beachten Sie, dass dieses Mal unter dem Standard-Gateway zwei IP-Adressen aufgeführt sind, nicht nur eine. Beachten Sie auch, dass unser gefälschtes Gateway zuerst (oben) und das echte Gateway als zweites aufgeführt ist.
Das wiederum bedeutet, dass auch wenn wir versuchen, eine Verbindung zu unserer OpenVPN-Server-IP herzustellen, 1.2.3.4diese in diesem Beispiel zum gefälschten Gateway (192.168.1.222) weitergeleitet wird und uns keine Verbindung erlaubt. Das wollen wir nicht. Deshalb müssen wir eine andere Route erstellen, die eine höhere Priorität (niedrigere Metrik) als 2 hat, d. h. wenn wir eine Verbindung zu unserer OpenVPN-IP herstellen, möchten wir, dass diese eine Verbindung zum echten Gateway (192.168.1.1) herstellt.
Als Erstes müssen wir bestätigen, um welchen OpenVPN-Server es sich handelt. Dies können wir erneut mit dem Ping-Befehl tun. Normalerweise geben Ihnen VPN-Anbieter eine Adresse, mit der Sie us.bestvpn.comsich verbinden können. Wir müssen herausfinden, für welche IP-Adresse diese URL ein Alias ist. Dies geht am besten mit dem Ping-Befehl, den wir eingeben:
ping us.bestvpn.com
und die Antwort sollte etwa sein wie
Pinging us.bestvpn.com [1.2.3.4] with 32 bytes of datawobei die IP-Adresse in den Klammern die IP-Adresse des OpenVPN-Servers ist. Wir werden sie 1.2.3.4als VPN-Server-IP verwenden.
Nun müssen wir es so einrichten, dass diese IP zu unserem echten Gateway weitergeleitet wird. Dies tun wir mit folgendem Befehl:
route -p add 1.2.3.4 mask 255.255.255.255 192.168.1.1 metric 1
Die Metrik 1 ermöglicht der Route, Vorrang vor der Metrik 2 zu haben, die wir der gefälschten Gateway-Route gegeben haben. Es ist wichtig zu beachten, dass dies mask 255.255.255.255die genaue IP bedeutet 1.2.3.4– was in meinem Fall zutrifft, aber Sie möchten möglicherweise die Maske erstellen, 255.255.255.0die im Wesentlichen besagt, dass jede IP im Bereich von 1.2.3.0bis 1.2.3.254zum echten Gateway weitergeleitet wird. Dies ist nützlich, wenn Ihr OpenVPN-Anbieter einen IP-Bereich verwendet, um eine Verbindung herzustellen.
Jetzt sollten wir uns wie gewohnt mit dem VPN verbinden können und dann, sobald die Verbindung hergestellt ist, im gesamten Internet surfen können. Sobald Sie die Verbindung trennen, werden Sie feststellen, dass es so aussieht, als ob keine Verbindung besteht, und dann plötzlich funktioniert sie doch, mit Ihrer ECHTEN IP-Adresse. Was?! Warum ist das passiert?
Nun, ich verstehe es so, dass DCHP standardmäßig, wenn es nach einer bestimmten Anzahl von Sekunden erkennt, dass das Gateway nirgendwo hinführt, versucht, das sekundäre Gateway auszuprobieren, in diesem Fall Ihr echtes Gateway.
Um dies zu verhindern, müssen Sie DCHP deaktivieren, indem Sie Ihren Interneteigenschaften eine statische IP, Subnetzmaske und ein Gateway zuweisen.Eine Schritt-für-Schritt-Anleitung mit Bildern, wie das unter XP, Vista und 7 funktioniert.
Sobald Sie damit fertig sind, stellen Sie erneut eine Verbindung zum VPN her, prüfen Sie, ob es noch funktioniert, und stellen Sie dann eine Verbindung her. Versuchen Sie, eine Verbindung zu einer Site herzustellen, und warten Sie 2–3 Minuten, um zu bestätigen, dass die Site nicht geladen wird. Dann sind Sie fertig.
So können Sie verhindern, dass Ihre echte IP-Adresse durch eine zufällige VPN-Trennung preisgegeben wird.
Antwort2
Wenn Sie über DNS- und IP-Lecks in OpenVPN besorgt sind und eine einfache und automatische Möglichkeit benötigen, IP- und DNS-Lecks bei der Verwendung von OpenVPN zu verhindern, sehen Sie sich diese beiden einfachen Tools von www.openvpnchecker.com an.
OpenVPN Watchdog:http://openvpnchecker.com/
OpenVPN-Firewall:http://openvpnchecker.com/firewall.htm Nachricht bearbeiten/löschen