Re: OpenVPN en "dns leakage"

To: debian-user-dutch@lists.debian.org
Subject: Re: OpenVPN en "dns leakage"
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Wed, 26 Feb 2020 13:35:55 +0100
Message-id: <[🔎] 8ff0470e-b688-a0e6-4934-3f46100ec991@vandervlis.nl>
In-reply-to: <[🔎] 20200226131812.83e014b3534249f3e658db64@lucassen.org>
References: <[🔎] c64dfe89-792f-62a6-228b-a71382f86c04@vandervlis.nl> <[🔎] 7e33aba4-7e33-a213-7822-b9e56aaba035@vandervlis.nl> <[🔎] 20200226113947.026eecd83835dd0527624b83@lucassen.org> <[🔎] 3ef91915-94e1-1ec7-b53b-9e402ef502a0@vandervlis.nl> <[🔎] 20200226131812.83e014b3534249f3e658db64@lucassen.org>

Op 26-02-2020 om 13:18 schreef Richard Lucassen:
> On Wed, 26 Feb 2020 12:11:37 +0100
> Paul van der Vlis <paul@vandervlis.nl> wrote:
> 
>>> Dat is wel erg bot. 

Het is bot, maar geeft niet eens een foutmelding in de logs.
En wat is er erg aan bot?

> Je kunt openvpn ook de resolv.conf laten
>>> aanpassen, up is niet zo'n probleem (dan is-ie nog root), down heb
>>> je sudo voor nodig.
>>
>> Heb je daar een mooi scriptje voor?
> 
> Nee, ik gebruik die optie nooit, alhoewel ja, om routes toe te voegen of
> policy routing aan te sturen, maar dat hoeft alleen maar bij het "up"
> komen van het device want als het device verdwijnt ruimt de kernel de
> bijbehorende routes op.
> 
> In de config:
> 
> up /path/to/script start
> down /path/to/script stop
> 
> Het "up" script draait als "root", maar bij "down" moet je wel sudo
> gebruiken omdat de tunnel default dan onder de user nobody draait (ik
> zou daar een aparte user voor nemen iig)
> 
> Je zou simpelweg een
> 
> /etc/openvpn/resolv/resolv-ovpn.conf
> /etc/openvpn/resolv/resolv-default.conf
> 
> kunnen aanmaken en daar in die specifieke dir /etc/openvpn/resolv (die
> writable is voor de user openvpn) een "ln -sf <resolv> resolv.conf" op
> kunnen loslaten door dat script dat openvpn aanstuurt. En dan maak
> je als root in de /etc/ dir een link naar
> 
> ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf

Networkmanager heeft de neiging om /etc/resolv.conf te veranderen. Het
zet er bij IPv6 een lokale nameserver bij die DNS-leaks kan geven. In de
praktijk doet hij dat niet, maar als de andere uitvalt wel.

>>> En je vertrouwt de DNS aan de andere kant van de tunnel wel?
>>
>> Dat is mijn eigen DNS-server. Op het moment nog DNSmasq die verwijst
>> naar mijn eigen DNS-servers maar ik wil er Bind9 van maken wat
>> rechtsstreeks bij de root-servers navraagt.
> 
> Ik zou unbound gebruiken, dat is een recursive only resolver. Maar dat
> terzijde.
> 
>>> Verplaats je niet gewoon het probleem?
>>
>> Iemand wil vaak een VPN omdat hij films download o.i.d. Op deze manier
>> kan de ISP niet meer zien wat voor naam je resolved.
>>
>> En als er een andere nameserver gebruikt zou worden dan ziet die ook
>> alleen het IP van de VPN.
> 
> Ja ok, het gaat dus niet om security maar om het verbergen van illegale
> activiteiten :-)

Een vertrouwde DNS server willen gebruiken is ook security.

Er zijn vele mensen die een VPN willen gebruiken om verschillende
redenen, en dat DNS-leak ergerde mij.  In de GUI clients schijnt het
opgelost, maar op de commandline gaat het niet goed.

Groet,
Paul


-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

Reply to:

Follow-Ups:
- Re: OpenVPN en "dns leakage"
  - From: Richard Lucassen <mailinglists@lucassen.org>

References:
- OpenVPN en "dns leakage"
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: OpenVPN en "dns leakage"
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: OpenVPN en "dns leakage"
  - From: Richard Lucassen <mailinglists@lucassen.org>
- Re: OpenVPN en "dns leakage"
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: OpenVPN en "dns leakage"
  - From: Richard Lucassen <mailinglists@lucassen.org>

Prev by Date: Re: OpenVPN en "dns leakage"
Next by Date: Re: OpenVPN en "dns leakage"
Previous by thread: Re: OpenVPN en "dns leakage"
Next by thread: Re: OpenVPN en "dns leakage"
Index(es):
- Date
- Thread