¿Cómo se envían las solicitudes de DNS cuando se usa OpenVPN? ¿Están encriptados?

3

Uso OpenVPN a través del administrador de red gnome. Cuando mi computadora está conectada a la VPN, ¿las solicitudes de DNS pasan a través de la IP de la VPN o desde mi IP real?

¿Las solicitudes de DNS enviadas en el mismo túnel cifrado que el resto de mi tráfico o podría alguien de acceso de nivel de red leerlas?

    
pregunta user 20.05.2016 - 02:29
fuente

3 respuestas

4

En una configuración predeterminada, todo el tráfico (incluido el DNS) debe enrutarse a través de un túnel OpenVPN.

Sin embargo, OpenVPN en sí mismo no proporciona mecanismos para imponer todo el tráfico que se enruta a través de su túnel y si una aplicación o el sistema operativo decide enrutar el tráfico a través de una interfaz no cifrada, es libre de hacerlo (como en el caso de Windows 10 Smart Multi-Homed Name Resolución ).

En cuanto a su intención, protección contra el espionaje en las consultas de DNS por parte de los ISP, estaría mejor configurando y utilizando dnsmasq con DNScrypt incluso para las conexiones que no son VPN.

Al agregar un firewall de salida (por ejemplo, iptables en Linux) para bloquear todo el tráfico de DNS, puede asegurarse de que incluso en caso de falla de OpenVPN o mala configuración, obtendría un repliegue a un canal de DNS cifrado (o ninguna conexión en todo por culpa de FW).

    
respondido por el techraf 20.05.2016 - 02:51
fuente
1

Desactive todos los demás adaptadores de red (Ethernet / adaptador wifi integrado, etc.) porque W10 envía solicitudes de DNS a través de todos los adaptadores, si están encendidos.

    
respondido por el Kay 07.12.2018 - 19:01
fuente
0
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     1002   0        0 eth0
<private-network-behind-vpn-gw>        0.0.0.0         255.0.0.0       U     0      0        0 tun0
<vpn-server-ip>   192.168.1.1     255.255.255.255 UGH   0      0        0 wlo1
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 wlo1

No hay tal compulsión. Esto depende de cómo y qué quiere lograr esa implementación específica.

Como en mi caso actual, se puede ver que mi carga ip para 10.0.0.0/8 se está enrutando a través de tun0 (mi interfaz vpn), que de nuevo está encapsulada por otro encabezado ip destinado a mi proveedor de VPN.

  

Cuando mi computadora está conectada al vpn, las solicitudes de DNS se ven así   ¿Vienen de la salida vpn ip o de mi ip real?

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:x.x.x.x  P-t-P:x.x.x.x  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1300  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500 
          RX bytes:0 (0.0 B)  TX bytes:1893 (1.8 KB)

Si los paquetes para la dirección IP del DNS que está configurado deben enrutarse a través de tun0, su solicitud de DNS tendrá xxxx como fuente en el encabezado de la ip, por lo que se cifrará hasta la puerta de enlace vpn, de lo contrario tendrá una dirección de origen de interfaz desde donde se puede acceder a la puerta de enlace predeterminada.

    
respondido por el 8zero2.ops 31.10.2016 - 06:45
fuente

Lea otras preguntas en las etiquetas