On Wed, 26 Feb 2020 12:11:37 +0100 Paul van der Vlis <[email protected]> wrote:
> > Dat is wel erg bot. Je kunt openvpn ook de resolv.conf laten > > aanpassen, up is niet zo'n probleem (dan is-ie nog root), down heb > > je sudo voor nodig. > > Heb je daar een mooi scriptje voor? Nee, ik gebruik die optie nooit, alhoewel ja, om routes toe te voegen of policy routing aan te sturen, maar dat hoeft alleen maar bij het "up" komen van het device want als het device verdwijnt ruimt de kernel de bijbehorende routes op. In de config: up /path/to/script start down /path/to/script stop Het "up" script draait als "root", maar bij "down" moet je wel sudo gebruiken omdat de tunnel default dan onder de user nobody draait (ik zou daar een aparte user voor nemen iig) Je zou simpelweg een /etc/openvpn/resolv/resolv-ovpn.conf /etc/openvpn/resolv/resolv-default.conf kunnen aanmaken en daar in die specifieke dir /etc/openvpn/resolv (die writable is voor de user openvpn) een "ln -sf <resolv> resolv.conf" op kunnen loslaten door dat script dat openvpn aanstuurt. En dan maak je als root in de /etc/ dir een link naar ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf > > En je vertrouwt de DNS aan de andere kant van de tunnel wel? > > Dat is mijn eigen DNS-server. Op het moment nog DNSmasq die verwijst > naar mijn eigen DNS-servers maar ik wil er Bind9 van maken wat > rechtsstreeks bij de root-servers navraagt. Ik zou unbound gebruiken, dat is een recursive only resolver. Maar dat terzijde. > > Verplaats je niet gewoon het probleem? > > Iemand wil vaak een VPN omdat hij films download o.i.d. Op deze manier > kan de ISP niet meer zien wat voor naam je resolved. > > En als er een andere nameserver gebruikt zou worden dan ziet die ook > alleen het IP van de VPN. Ja ok, het gaat dus niet om security maar om het verbergen van illegale activiteiten :-) -- richard lucassen http://contact.xaq.nl/
