Могут ли запросы DHCP передавать информацию моему провайдеру при подключении к VPN?


1

Я не знаю много о сети, поэтому у этого вопроса могут быть некоторые базовые заблуждения.

Я использую OpenVPN 2.4.6 (сервер) и OpenVPN GUI 11.10.0.0 (клиент).

Мой сервер настроен с:

push "redirect-gateway def1"

На справочной странице OpenVPN опция redirect-gateway «автоматически выполняет [s] команды маршрутизации, чтобы заставить весь исходящий IP-трафик перенаправляться через VPN».

Я волнуюсь, что может произойти следующее.

  1. Мой DHCP-клиент отправляет сообщение об обнаружении DHCP. Это сообщение не проходит через VPN.
  2. DHCP-сервер моего провайдера отвечает предложением IP-адреса.
  3. Мой DHCP-клиент запрашивает предложенный IP-адрес и получает подтверждение. Опять этот запрос не идет через VPN.
  4. Я подключаюсь к VPN.
  5. Срок аренды моего не-VPN IP-адреса истекает.
  6. Мой DHCP-клиент просит продлить аренду. Этот запрос проходит через VPN.
  7. Мой интернет-провайдер теперь может связывать мой не-VPN-IP-адрес с моим VPN-IP-адресом, основываясь на информации, предоставленной моим DHCP-клиентом на шагах 1, 3 и 6.

Например, говорят, что dhcpcd включает MAC-адрес вашего сетевого адаптера в свои запросы. (См. Http://klamp.works/2016/04/29/dhcp.html .)

Это действительная проблема? Если так, как я могу решить это?

Я могу ошибаться, но мне кажется, что одним из решений является настройка моего VPN-сервера с:

push "redirect-gateway def1 bypass-dhcp"

Для справочной страницы OpenVPN флаг bypass-dhcp "[a] dd [s] прямой маршрут к серверу DHCP (если он не локальный), который обходит туннель (доступен на клиентах Windows, может быть недоступен на -Окна клиентов).

Я использую опцию redirect-gateway, потому что, если я этого не сделаю, при подключении к VPN и просмотре dnsleaktest будет отображаться мой IP-адрес, отличный от VPN, а не IP-адрес VPN.

Спасибо и, пожалуйста, дайте мне знать, если я могу предоставить дополнительную информацию.

Ответы:


1

Это нас беспочвенно беспокоит, потому что DHCP применяется только к определенному интерфейсу - а интерфейс VPN не обрабатывает запросы DHCP (я упрощаю здесь - он может обрабатывать запросы DHCP, но только через туннель в режиме TAP - но эти шрифты иди иди своего провайдера в незашифрованном виде, и точно так же он не будет здесь запросы от вашего провайдера.)

Утечка может произойти, если вы используете серверы имен вашего интернет-провайдера (которые могут быть назначены с помощью DHCP), и они находятся в той же подсети, что и интерфейс WAN.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.