Wie kann sichergestellt werden, dass der gesamte Datenverkehr nach dem Start über eine VPN-Verbindung geleitet wird?

18

Ich verbinde mich mit dem Internet über einen VPN-Anbieter zusammen mit anderen Vorsichtsmaßnahmen, um den Datenschutz zu gewährleisten (gegen Verkehrsanalysen durch Behörden einer repressiven Regierung). Ich verwende derzeit Tunnelblick , um die VPN-Verbindung zu konfigurieren und herzustellen. Tunnelblick erlaubt keine automatische Verbindung zum Provider bei oder vor dem Login, daher muss ich mich jedes Mal manuell verbinden, und manchmal geht die Verbindung verloren.

Ich benötige den gesamten Datenverkehr, um jederzeit über die VPN-Verbindung zu gelangen. Wenn das VPN aus irgendeinem Grund nicht verbunden werden kann, soll der Fallback keine Verbindung sein. Ich muss dafür sorgen

  • dass OS X über meine normale Internetverbindung oder während des Startvorgangs keine Verbindung zum Internet herstellt (bis zum Anmeldebildschirm, für die Zeitsynchronisierung und andere mögliche "Call-Home" -Elemente usw.). Welche Dienste versuchen dies zu tun, und wie kann ich praktisch analysieren und ändern, was beim Booten mit dem Netzwerk passiert? Gibt es eine Möglichkeit, sich früher als direkt nach der Anmeldung mit dem VPN zu verbinden?

  • Wenn meine VPN-Verbindung vorübergehend unterbrochen wird, kommunizieren die Anwendungen nicht mehr über meine normale unverschlüsselte Verbindung.

Grundsätzlich möchte ich, dass das System so funktioniert, als ob die Netzwerkverbindung vollständig unterbrochen wird, wenn die VPN-Verbindung ausfällt. Derzeit funktionieren sie jedoch so, als ob nichts passiert wäre. Was kann ich mit meinem System tun, damit nach dem Herstellen eines VPNs der gesamte Datenverkehr nur über diese Verbindung und kein Datenverkehr über den Verbindungsabbruch fließen kann?

citizenkt
quelle
Ich frage mich, ob dies durch die Erstellung einer statischen Route geschehen könnte. Ihr nächster Schritt könnte das VPN sein, aber dann könnte es schwierig sein, das VPN überhaupt einzurichten. Hrm.
Harv

Antworten:

3

Sie benötigen eine Firewall zwischen Ihnen und dem Internet, die den gesamten Datenverkehr mit Ausnahme des Datenverkehrs zur IP-Adresse Ihres VPN-Hosts blockiert

In Ihrem Router ist diese Funktionalität höchstwahrscheinlich integriert

Stu Wilson
quelle
2

Mac OS X enthält den befehlszeilenbasierten ipfwBefehl, mit dem Sie erweiterte Regeln für die lokale Firewall festlegen können.

ipfw arbeitet mit Regeln, die der Reihe nach geschrieben und geprüft werden. Daher werden die Regeln für niedrige Zahlen erst gegen Ende der Liste überprüft. Bei der Konfiguration von Firewalls gibt es zwei Ansätze:

  • Schließen des Netzwerks + Verkehr zulassen
  • Netzwerk öffnen + Datenverkehr verweigern

In Ihrem Fall müssen Sie den gesamten Datenverkehr unterbrechen und dann nur den Datenverkehr zur IP-Adresse Ihres VPN zulassen, wobei Sie nur die von Ihrem VPN verwendeten Ports verwenden. Auf diese Weise wird verhindert, dass Streupakete herauskommen, solange Ihre Regeln streng sind.

Es gibt viele großartige Anleitungen und Tutorials für ipfw im Internet, die in vielen Unix- und Linux-Betriebssystemen weit verbreitet sind. Hier einige:

Ich schlage vor, Sie untersuchen sie und sehen, ob Sie in der Lage sind, den Befehl ausreichend zu verstehen, um ihn auszuprobieren. Zumindest würde ich empfehlen, sicherzustellen, dass Sie wissen, wie Sie die Firewall deaktivieren und die Regeln löschen, für den Fall, dass Sie Ihren Computer durch eine Fehlkonfiguration in Schwierigkeiten bringen!

Viel Glück :)

stuffe
quelle
2
Zu welchem ​​Zeitpunkt während des Startvorgangs werden diese Regeln angewendet? Können Sie sicherstellen, dass vorher keine Kommunikation stattfindet?
Max Ried