Op 26-02-2020 om 13:18 schreef Richard Lucassen: > On Wed, 26 Feb 2020 12:11:37 +0100 > Paul van der Vlis <p...@vandervlis.nl> wrote: > >>> Dat is wel erg bot.
Het is bot, maar geeft niet eens een foutmelding in de logs. En wat is er erg aan bot? > Je kunt openvpn ook de resolv.conf laten >>> aanpassen, up is niet zo'n probleem (dan is-ie nog root), down heb >>> je sudo voor nodig. >> >> Heb je daar een mooi scriptje voor? > > Nee, ik gebruik die optie nooit, alhoewel ja, om routes toe te voegen of > policy routing aan te sturen, maar dat hoeft alleen maar bij het "up" > komen van het device want als het device verdwijnt ruimt de kernel de > bijbehorende routes op. > > In de config: > > up /path/to/script start > down /path/to/script stop > > Het "up" script draait als "root", maar bij "down" moet je wel sudo > gebruiken omdat de tunnel default dan onder de user nobody draait (ik > zou daar een aparte user voor nemen iig) > > Je zou simpelweg een > > /etc/openvpn/resolv/resolv-ovpn.conf > /etc/openvpn/resolv/resolv-default.conf > > kunnen aanmaken en daar in die specifieke dir /etc/openvpn/resolv (die > writable is voor de user openvpn) een "ln -sf <resolv> resolv.conf" op > kunnen loslaten door dat script dat openvpn aanstuurt. En dan maak > je als root in de /etc/ dir een link naar > > ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf Networkmanager heeft de neiging om /etc/resolv.conf te veranderen. Het zet er bij IPv6 een lokale nameserver bij die DNS-leaks kan geven. In de praktijk doet hij dat niet, maar als de andere uitvalt wel. >>> En je vertrouwt de DNS aan de andere kant van de tunnel wel? >> >> Dat is mijn eigen DNS-server. Op het moment nog DNSmasq die verwijst >> naar mijn eigen DNS-servers maar ik wil er Bind9 van maken wat >> rechtsstreeks bij de root-servers navraagt. > > Ik zou unbound gebruiken, dat is een recursive only resolver. Maar dat > terzijde. > >>> Verplaats je niet gewoon het probleem? >> >> Iemand wil vaak een VPN omdat hij films download o.i.d. Op deze manier >> kan de ISP niet meer zien wat voor naam je resolved. >> >> En als er een andere nameserver gebruikt zou worden dan ziet die ook >> alleen het IP van de VPN. > > Ja ok, het gaat dus niet om security maar om het verbergen van illegale > activiteiten :-) Een vertrouwde DNS server willen gebruiken is ook security. Er zijn vele mensen die een VPN willen gebruiken om verschillende redenen, en dat DNS-leak ergerde mij. In de GUI clients schijnt het opgelost, maar op de commandline gaat het niet goed. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://www.vandervlis.nl/