[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenVPN en "dns leakage"



On Wed, 26 Feb 2020 12:11:37 +0100
Paul van der Vlis <paul@vandervlis.nl> wrote:

> > Dat is wel erg bot. Je kunt openvpn ook de resolv.conf laten
> > aanpassen, up is niet zo'n probleem (dan is-ie nog root), down heb
> > je sudo voor nodig.
> 
> Heb je daar een mooi scriptje voor?

Nee, ik gebruik die optie nooit, alhoewel ja, om routes toe te voegen of
policy routing aan te sturen, maar dat hoeft alleen maar bij het "up"
komen van het device want als het device verdwijnt ruimt de kernel de
bijbehorende routes op.

In de config:

up /path/to/script start
down /path/to/script stop

Het "up" script draait als "root", maar bij "down" moet je wel sudo
gebruiken omdat de tunnel default dan onder de user nobody draait (ik
zou daar een aparte user voor nemen iig)

Je zou simpelweg een

/etc/openvpn/resolv/resolv-ovpn.conf
/etc/openvpn/resolv/resolv-default.conf

kunnen aanmaken en daar in die specifieke dir /etc/openvpn/resolv (die
writable is voor de user openvpn) een "ln -sf <resolv> resolv.conf" op
kunnen loslaten door dat script dat openvpn aanstuurt. En dan maak
je als root in de /etc/ dir een link naar

ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf

> > En je vertrouwt de DNS aan de andere kant van de tunnel wel?
> 
> Dat is mijn eigen DNS-server. Op het moment nog DNSmasq die verwijst
> naar mijn eigen DNS-servers maar ik wil er Bind9 van maken wat
> rechtsstreeks bij de root-servers navraagt.

Ik zou unbound gebruiken, dat is een recursive only resolver. Maar dat
terzijde.

> > Verplaats je niet gewoon het probleem?
> 
> Iemand wil vaak een VPN omdat hij films download o.i.d. Op deze manier
> kan de ISP niet meer zien wat voor naam je resolved.
> 
> En als er een andere nameserver gebruikt zou worden dan ziet die ook
> alleen het IP van de VPN.

Ja ok, het gaat dus niet om security maar om het verbergen van illegale
activiteiten :-)

-- 
richard lucassen
http://contact.xaq.nl/


Reply to: