HOWTO: Фильтрация траффика при выключенном VPN [WINDOWS 7 FIREWALL]

Чтобы зафильтровать траффик без подключенного VPN с помощью стандартного брандмауэра в Windows 7 надо знать что такое: профиль домена, частный профиль, публичный профиль, ip адрес, протокол, и как работает брандмауэр в Windows 7. Его работа отличается от iptables.

Данный FAQ протестирован на Windows 7. 

Никаких гарантий по использованию этого FAQ мы не даем - все на совести пользователя и в рамках его квалификации. 

Если есть чем дополнить - пишите, пожалуйста, в комментариях, дополним.

Итак.

Фильтроваться мы будем по принципу white-листов(запрещено все, кроме того, что разрешено).

Как полностью заблокировать трафик в linux при выключенном впн ЧАСТЬ 2

Предыдущий способ слишком сложен для понимания и использования.
Гораздо проще отредактировать файл /etc/rc.local который будет отрабатывать при каждом старте системы приведя его примерно к такому виду:

username@linux:~$ cat /etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
#по желанию можно даже вписать нужные днс при старте системы
#echo -e "nameserver 8.8.8.8\nnameserver 8.8.4.4\n" > /etc/resolv.conf

iptables -F
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -s 8.8.8.8 -j ACCEPT
iptables -A OUTPUT -d 8.8.8.8 -j ACCEPT
iptables -A INPUT -s 33.33.33.33 -j ACCEPT
iptables -A OUTPUT -d 33.33.33.33 -j ACCEPT
iptables -A INPUT -s 22.22.22.22 -j ACCEPT
iptables -A OUTPUT -d 22.22.22.22 -j ACCEPT
iptables -A INPUT -s 10.0.2.0/24 -j ACCEPT
iptables -A OUTPUT -d 10.0.2.0/24 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
exit 0

Где 33.33.33.33 и 22.22.22.22 это сервера впн траффик с которых мы хотим разрешить.

8.8.8.8 - днс сервера гугла(можно заменить на что угодно)

В конце скрипта обязательно должен быть exit 0.

Безопасной работы.

ФБР официально признало контроль над Tor

Признание состоялось во время судебных слушаний в Ирландии.

Представители ФБР США впервые признали, что они фактически управляют компанией Freedom Hosting, которая является оператором сервисов Tor. Это случилось во время суда в Ирландии на прошлой неделе. Ранее информация об этом поступала от исполнительного директора Tor Эндрю Дьюмена.
Громкое подтверждение состоялось во время слушаний по делу Эрика Маркеза, имеющего двойное американо-ирландское гражданство. Ему предъявлено обвинение по четырем эпизодам распространения порнографии в глобальной сети Интернет. Обвиняемому, которого сейчас выпустили под залог, сейчас грозит экстрадиция в США.
По данным издания The Irish Independent, после первого ареста Маркеза в начале лета, он пытался провести изменения на арендованном им сервисе, но не смог сделать этого, так как спецслужбы перед этим сменили пароли на нем.
Как заявляет защита Эрика Маркеза, агенты ФБР задолго до его ареста, без каких либо судебных санкций явились в датацентр, в котором расположен сервер, и локально установили в нем ПО для тайного перехвата данных. По словам обвиняемого, агенты ФБР могли устанавливать и другое оборудование для записи перехваченных данных, так как никаких внешних признаков шпионского софта на оборудовании не было отмечено.

Подробнее: http://www.securitylab.ru/news/444650.ph
p

Признание состоялось во время судебных слушаний в Ирландии.

Представители ФБР США впервые признали, что они фактически управляют компанией Freedom Hosting, которая является оператором сервисов Tor. Это случилось во время суда в Ирландии на прошлой неделе. Ранее информация об этом поступала от исполнительного директора Tor Эндрю Дьюмена.
Громкое подтверждение состоялось во время слушаний по делу Эрика Маркеза, имеющего двойное американо-ирландское гражданство. Ему предъявлено обвинение по четырем эпизодам распространения порнографии в глобальной сети Интернет. Обвиняемому, которого сейчас выпустили под залог, сейчас грозит экстрадиция в США.
По данным издания The Irish Independent, после первого ареста Маркеза в начале лета, он пытался провести изменения на арендованном им сервисе, но не смог сделать этого, так как спецслужбы перед этим сменили пароли на нем.
Как заявляет защита Эрика Маркеза, агенты ФБР задолго до его ареста, без каких либо судебных санкций явились в датацентр, в котором расположен сервер, и локально установили в нем ПО для тайного перехвата данных. По словам обвиняемого, агенты ФБР могли устанавливать и другое оборудование для записи перехваченных данных, так как никаких внешних признаков шпионского софта на оборудовании не было отмечено.

Подробнее: http://www.securitylab.ru/news/444650.php

Признание состоялось во время судебных слушаний в Ирландии.

Представители ФБР США впервые признали, что они фактически управляют компанией Freedom Hosting, которая является оператором сервисов Tor. Это случилось во время суда в Ирландии на прошлой неделе. Ранее информация об этом поступала от исполнительного директора Tor Эндрю Дьюмена.

Громкое подтверждение состоялось во время слушаний по делу Эрика Маркеза, имеющего двойное американо-ирландское гражданство. Ему предъявлено обвинение по четырем эпизодам распространения порнографии в глобальной сети Интернет. Обвиняемому, которого сейчас выпустили под залог, сейчас грозит экстрадиция в США.

По данным издания The Irish Independent, после первого ареста Маркеза в начале лета, он пытался провести изменения на арендованном им сервисе, но не смог сделать этого, так как спецслужбы перед этим сменили пароли на нем.

Как заявляет защита Эрика Маркеза, агенты ФБР задолго до его ареста, без каких либо судебных санкций явились в датацентр, в котором расположен сервер, и локально установили в нем ПО для тайного перехвата данных. По словам обвиняемого, агенты ФБР могли устанавливать и другое оборудование для записи перехваченных данных, так как никаких внешних признаков шпионского софта на оборудовании не было отмечено.

Источник

OpenVPN for Android

OpenVPN for Android  - отличный клиент под платформу андроид для опенвпн.

Сейчас мы заняты добавлением совместимости наших сертификатов с этим софтом(конфигурационные файлы станут доступны в личном кабинете или по запросу в саппорт в ближайшее время).

А пока, краткая инструкция по настройке. Если что-то не указано значит используются значения по умолчанию.

Основные
Имя конфигурации: CryptoVPN_de1
Адрес сервера: IP адрес сервера куда вы хотите подключаться
Порт: 443 для синглвпн(для даблвпн см конфиг)
Сжатие LZO: YES
Тип: Логин/Пароль
CA сертификат: переносим на устройство de1.crt и указываем в программе где он лежит.
Имя пользователя: username
Пароль: вводим свой пароль, либо оставляем пустым

IP-адрес и DNS
Запрашивать параметры: YES

Настройки DNS - по желанию

Маршрутизация
Использовать маршрут по-умолчанию IPv4 - YES

Остальные галки сняты.

Авторизация/Шифрование

Ожидать сертификата TLS: YES

Проверка имени хоста сертификата: NO

Использовать аутентификацию по TLS ключу: YES
Файл аутентификации TLS: переносим на устройство de1.key и указываем путь
Обязательно! TLS Direction: 1


Всё. Сохраняем. Пробуем подключиться.



При возникновении любых проблем с впн на мобильных устройствах - обращаться к службе поддержки cryptovpn.com.
Конфигурационные файлы для openvpn for android брать у саппорта(в личном кабинете они будут добавлены  в ближайшее время).

Безопасной работы.

Как скрыть ip?

Решение проблемы с ошибками TEST ROUTES(Route:Waiting for TUN/TAP interface to come up) в OpenVPN GUI и CryptoVPN GUI в Windows 8

Доброго вам дня.

В Windows 8 долгое время присутствует проблема с установкой впн соединения через openvpn gui и cryptovpn gui(ошибка установки маршрутов, "route addition failed").
Или повторяющиеся сообщения вида:
TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...


Решается проблема следующим образом:

Нажимаем WIN+X выбираем Панель управления, в открывшемся окне кликаем Программы и затем Включение и отключение компонентов Windows.
Ищем там Пакет администрирования диспетчера RAS-подключений (CMAK) и убеждаемся, что напротив него стоит галочка. Если не стоит ее нужно поставить.
Если пакет не установлен то он установится после того как вы поставите галочку.
Если пакет установлен закрываем все нажатием ОК.

Нажимаем WIN+R вводим services.msc и жмем Выполнить.
Откроется окно Службы.
Ищем  службу Сетевые подключения, делаем двойной клик мышью на ней.
Вам откроется Свойства: Сетевые подключения выставляем Тип запуска: Автоматически. Если служба не запущена(Состояние: Выключена) то запускаем ее нажатием на кнопку Запустить. Если служба уже запущена можно по желанию перезапустить ее (Остановить|Запустить).

Закрываем это окно нажатием ОК.

Не забываем в свойствах ярлыка OpenVPN GUI на вкладке Совместимость поставить галочку "Запускать программу от имени Администратора", чтобы каждый раз не приходилось запускать из-под администраторской учетной записи вручную.
В случае с CryptoVPN GUI этого делать не нужно.


Анонимный впн по приличным ценам можно купить здесь: https://cryptovpn.com/

Безопасной работы.

Про skype

http://www.lenta.ru/news/2013/03/14/skype/
http://charter97.org/ru/news/2013/3/25/67046/

http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/

Как запретить траффик идти в обход впн? Часть 2.

Предыдущий метод вызывал много вопросов и неудобств. Альтернативный метод куда проще и удобней. Используем все тот же Comodo Firewall. Система Windows 7.


1. Создаем зону с названием vpn.

2. Туда прописываем такое:
Диапазон ip адресов:
172.16.1.1 - 172.16.255.255

Единичный ipv4 адрес: ip адрес впн сервера.

Единичный ipv4 адрес: 127.0.0.1. (нужен для работы опенвпн)

Мак адрес: виртуального тап адаптера. (смотреть, набирая в командной строке ipconfig /all)