As solicitações DHCP podem vazar informações para o meu provedor enquanto eu estiver conectado a uma VPN?


1

Eu não sei muito sobre networking, então essa questão pode ter alguns equívocos básicos.

Estou usando o OpenVPN 2.4.6 (servidor) e OpenVPN GUI 11.10.0.0 (cliente).

Meu servidor está configurado com:

push "redirect-gateway def1"

De acordo com a página de manual do OpenVPN , a opção de redirecionamento de gateway "[a] executa automaticamente [s] os comandos de roteamento para fazer com que todo o tráfego de IP de saída seja redirecionado pela VPN."

Eu me preocupo que o seguinte possa acontecer.

  1. Meu cliente DHCP envia uma mensagem de descoberta DHCP. Esta mensagem não passa pela VPN.
  2. O servidor DHCP do meu ISP responde com uma oferta de um endereço IP.
  3. Meu cliente DHCP solicita o endereço IP oferecido e recebe uma confirmação. Mais uma vez, este pedido não passa pela VPN.
  4. Eu me conecto à VPN.
  5. A concessão do meu endereço IP não VPN expira.
  6. Meu cliente DHCP solicita a renovação da concessão. Esta solicitação passa pela VPN.
  7. Meu ISP agora pode associar meu endereço IP não VPN ao meu endereço IP da VPN, com base nas informações fornecidas pelo meu cliente DHCP nas etapas 1, 3 e 6.

O dhcpcd, por exemplo, inclui o endereço MAC do seu adaptador de rede em suas solicitações. (Veja http://klamp.works/2016/04/29/dhcp.html .)

Será esta uma preocupação válida? Se sim, como posso resolver isso?

Eu posso estar errado, mas parece-me que uma solução é configurar o meu servidor VPN com:

push "redirect-gateway def1 bypass-dhcp"

Pela página de manual do OpenVPN , o sinalizador bypass-dhcp "[a] dd [s] uma rota direta para o servidor DHCP (se não for local) que ignora o túnel (Disponível em clientes Windows, pode não estar disponível em não -Windows clientes). "

Eu estou usando a opção de redirecionamento de gateway, porque se eu não fizer isso, quando eu ligar para a minha VPN e navegar para dnsleaktest , ele mostra o meu endereço IP não VPN em vez do meu endereço IP da VPN.

Obrigado e, por favor, deixe-me saber se posso fornecer informações adicionais.

Respostas:


1

Isso nos preocupa sem fundamento porque o DHCP se aplica apenas a uma interface específica - e a interface VPN não aceita solicitações DHCP (estou simplificando aqui - pode ser capaz de manipular solicitações DHCP, mas apenas através do túnel quando no modo TAP - mas essas fontes go go your isp não criptografado, e da mesma forma não será aqui pedidos do seu ISP.)

Onde o vazamento pode ocorrer é se você usar os servidores de nomes dos seus ISPs (que podem ser atribuídos usando DHCP) e estes estão na mesma sub-rede que a sua Interface WAN.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.