Re: OpenVPN en "dns leakage"
Op 26-02-2020 om 13:18 schreef Richard Lucassen:
> On Wed, 26 Feb 2020 12:11:37 +0100
> Paul van der Vlis <paul@vandervlis.nl> wrote:
>
>>> Dat is wel erg bot.
Het is bot, maar geeft niet eens een foutmelding in de logs.
En wat is er erg aan bot?
> Je kunt openvpn ook de resolv.conf laten
>>> aanpassen, up is niet zo'n probleem (dan is-ie nog root), down heb
>>> je sudo voor nodig.
>>
>> Heb je daar een mooi scriptje voor?
>
> Nee, ik gebruik die optie nooit, alhoewel ja, om routes toe te voegen of
> policy routing aan te sturen, maar dat hoeft alleen maar bij het "up"
> komen van het device want als het device verdwijnt ruimt de kernel de
> bijbehorende routes op.
>
> In de config:
>
> up /path/to/script start
> down /path/to/script stop
>
> Het "up" script draait als "root", maar bij "down" moet je wel sudo
> gebruiken omdat de tunnel default dan onder de user nobody draait (ik
> zou daar een aparte user voor nemen iig)
>
> Je zou simpelweg een
>
> /etc/openvpn/resolv/resolv-ovpn.conf
> /etc/openvpn/resolv/resolv-default.conf
>
> kunnen aanmaken en daar in die specifieke dir /etc/openvpn/resolv (die
> writable is voor de user openvpn) een "ln -sf <resolv> resolv.conf" op
> kunnen loslaten door dat script dat openvpn aanstuurt. En dan maak
> je als root in de /etc/ dir een link naar
>
> ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf
Networkmanager heeft de neiging om /etc/resolv.conf te veranderen. Het
zet er bij IPv6 een lokale nameserver bij die DNS-leaks kan geven. In de
praktijk doet hij dat niet, maar als de andere uitvalt wel.
>>> En je vertrouwt de DNS aan de andere kant van de tunnel wel?
>>
>> Dat is mijn eigen DNS-server. Op het moment nog DNSmasq die verwijst
>> naar mijn eigen DNS-servers maar ik wil er Bind9 van maken wat
>> rechtsstreeks bij de root-servers navraagt.
>
> Ik zou unbound gebruiken, dat is een recursive only resolver. Maar dat
> terzijde.
>
>>> Verplaats je niet gewoon het probleem?
>>
>> Iemand wil vaak een VPN omdat hij films download o.i.d. Op deze manier
>> kan de ISP niet meer zien wat voor naam je resolved.
>>
>> En als er een andere nameserver gebruikt zou worden dan ziet die ook
>> alleen het IP van de VPN.
>
> Ja ok, het gaat dus niet om security maar om het verbergen van illegale
> activiteiten :-)
Een vertrouwde DNS server willen gebruiken is ook security.
Er zijn vele mensen die een VPN willen gebruiken om verschillende
redenen, en dat DNS-leak ergerde mij. In de GUI clients schijnt het
opgelost, maar op de commandline gaat het niet goed.
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Reply to: