Re: OpenVPN en "dns leakage"
On Wed, 26 Feb 2020 16:41:17 +0100 Paul van der Vlis wrote: > Jawel, Networkmanager doet dat. > > > Vandaar dat ik er > > een link van zou maken die naar een andere dir wijst. > > Het overschrijft dan het file in die ander dir lijkt me. Of hij zet een file neer ipv die symlink > > Brr, dat ding. Networkdestroyer bedoel je. Maar als je de boel > > met chattr te lijf gaat, crasht dat ding dan niet? Want zoiets > > verwacht-ie natuurlijk niet... > > Inderdaad, dat ding bedoel ik. Gebruik ik normaal alleen op laptops, > maar die Freedombox-software gebruikt het nogal intensief dus vandaar. > > En nee, het crashed niet, geeft zelfs geen melding in de logs dat > schrijven niet kan. Tsja... > Ik vond dit overigens nog: > https://github.com/wknapik/vpnfailsafe Ja, ik zou dan toch liever m'n eigen scripts gebruiken en policy routing gebruiken, dan hoef je niet zo moeilijk te doen. Zodra de tunnel opkomt gewoon een andere routetabel kiezen en die heeft z'n eigen [ip|nf]tables scripts. Overigens draait openvpn bij hen wel als root, ik ben daar niet zo'n voorstander van. Misschien is het handig het eindpunt van de tunnel in /etc/hosts te zetten, als de DNS het een keer om wat voor reden het niet doet kun je wel een tunnel opbouwen. Maar waarom draai je niet unbound die direct de rootservers benadert? Zo vindt de provider het niet in de logs van de DNS, maar met een dump kun je altijd zien wat er gevraagd wordt, maar dat zie je aan het eind van de tunnel ook. Dus wat win je ermee? Overigens is dat ge-VPN ook maar een hype. Mensen denken dat ze veilig zitten. Maar wie garandeert dat? Zonder vpn ziet je provider het, met een vpn ziet de vpn aanbieder het. Een vpn is niets meer dan een virtueel stuk draad die je ergens in een switch steekt. Als je iets wilt uitvreten gebruik dan Tor. En dan nog. R. -- richard lucassen http://contact.xaq.nl/
Re: OpenVPN en "dns leakage"
Op 26-02-2020 om 14:07 schreef Richard Lucassen: > On Wed, 26 Feb 2020 13:35:55 +0100 > Paul van der Vlis wrote: > > Dat is wel erg bot. >> >> Het is bot, maar geeft niet eens een foutmelding in de logs. >> En wat is er erg aan bot? > > Nou, zelfs root krijgt dan een permission denied, en als resolvconf > verwijderd is zou niemand er meer aan mogen zitten. Jawel, Networkmanager doet dat. > Vandaar dat ik er > een link van zou maken die naar een andere dir wijst. Het overschrijft dan het file in die ander dir lijkt me. >>> ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf >> >> Networkmanager heeft de neiging om /etc/resolv.conf te veranderen. Het >> zet er bij IPv6 een lokale nameserver bij die DNS-leaks kan geven. In >> de praktijk doet hij dat niet, maar als de andere uitvalt wel. > > Brr, dat ding. Networkdestroyer bedoel je. Maar als je de boel > met chattr te lijf gaat, crasht dat ding dan niet? Want zoiets > verwacht-ie natuurlijk niet... Inderdaad, dat ding bedoel ik. Gebruik ik normaal alleen op laptops, maar die Freedombox-software gebruikt het nogal intensief dus vandaar. En nee, het crashed niet, geeft zelfs geen melding in de logs dat schrijven niet kan. >>> Ja ok, het gaat dus niet om security maar om het verbergen van >>> illegale activiteiten :-) >> >> Een vertrouwde DNS server willen gebruiken is ook security. > > Maar ook van die resolver kun je volgen wat-ie opvraagt... > >> Er zijn vele mensen die een VPN willen gebruiken om verschillende >> redenen, en dat DNS-leak ergerde mij. In de GUI clients schijnt het >> opgelost, maar op de commandline gaat het niet goed. > > Huh? Dat lijkt me onlogisch. Of heeft Poettering weer iets "gefixt"? Goed mogelijk... Ik vond dit overigens nog: https://github.com/wknapik/vpnfailsafe Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://www.vandervlis.nl/
Re: OpenVPN en "dns leakage"
On Wed, 26 Feb 2020 13:35:55 +0100 Paul van der Vlis wrote: > >>> Dat is wel erg bot. > > Het is bot, maar geeft niet eens een foutmelding in de logs. > En wat is er erg aan bot? Nou, zelfs root krijgt dan een permission denied, en als resolvconf verwijderd is zou niemand er meer aan mogen zitten. Vandaar dat ik er een link van zou maken die naar een andere dir wijst. > > ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf > > Networkmanager heeft de neiging om /etc/resolv.conf te veranderen. Het > zet er bij IPv6 een lokale nameserver bij die DNS-leaks kan geven. In > de praktijk doet hij dat niet, maar als de andere uitvalt wel. Brr, dat ding. Networkdestroyer bedoel je. Maar als je de boel met chattr te lijf gaat, crasht dat ding dan niet? Want zoiets verwacht-ie natuurlijk niet... > > Ja ok, het gaat dus niet om security maar om het verbergen van > > illegale activiteiten :-) > > Een vertrouwde DNS server willen gebruiken is ook security. Maar ook van die resolver kun je volgen wat-ie opvraagt... > Er zijn vele mensen die een VPN willen gebruiken om verschillende > redenen, en dat DNS-leak ergerde mij. In de GUI clients schijnt het > opgelost, maar op de commandline gaat het niet goed. Huh? Dat lijkt me onlogisch. Of heeft Poettering weer iets "gefixt"? -- richard lucassen http://contact.xaq.nl/
Re: OpenVPN en "dns leakage"
Op 26-02-2020 om 13:18 schreef Richard Lucassen: > On Wed, 26 Feb 2020 12:11:37 +0100 > Paul van der Vlis wrote: > >>> Dat is wel erg bot. Het is bot, maar geeft niet eens een foutmelding in de logs. En wat is er erg aan bot? > Je kunt openvpn ook de resolv.conf laten >>> aanpassen, up is niet zo'n probleem (dan is-ie nog root), down heb >>> je sudo voor nodig. >> >> Heb je daar een mooi scriptje voor? > > Nee, ik gebruik die optie nooit, alhoewel ja, om routes toe te voegen of > policy routing aan te sturen, maar dat hoeft alleen maar bij het "up" > komen van het device want als het device verdwijnt ruimt de kernel de > bijbehorende routes op. > > In de config: > > up /path/to/script start > down /path/to/script stop > > Het "up" script draait als "root", maar bij "down" moet je wel sudo > gebruiken omdat de tunnel default dan onder de user nobody draait (ik > zou daar een aparte user voor nemen iig) > > Je zou simpelweg een > > /etc/openvpn/resolv/resolv-ovpn.conf > /etc/openvpn/resolv/resolv-default.conf > > kunnen aanmaken en daar in die specifieke dir /etc/openvpn/resolv (die > writable is voor de user openvpn) een "ln -sf resolv.conf" op > kunnen loslaten door dat script dat openvpn aanstuurt. En dan maak > je als root in de /etc/ dir een link naar > > ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf Networkmanager heeft de neiging om /etc/resolv.conf te veranderen. Het zet er bij IPv6 een lokale nameserver bij die DNS-leaks kan geven. In de praktijk doet hij dat niet, maar als de andere uitvalt wel. >>> En je vertrouwt de DNS aan de andere kant van de tunnel wel? >> >> Dat is mijn eigen DNS-server. Op het moment nog DNSmasq die verwijst >> naar mijn eigen DNS-servers maar ik wil er Bind9 van maken wat >> rechtsstreeks bij de root-servers navraagt. > > Ik zou unbound gebruiken, dat is een recursive only resolver. Maar dat > terzijde. > >>> Verplaats je niet gewoon het probleem? >> >> Iemand wil vaak een VPN omdat hij films download o.i.d. Op deze manier >> kan de ISP niet meer zien wat voor naam je resolved. >> >> En als er een andere nameserver gebruikt zou worden dan ziet die ook >> alleen het IP van de VPN. > > Ja ok, het gaat dus niet om security maar om het verbergen van illegale > activiteiten :-) Een vertrouwde DNS server willen gebruiken is ook security. Er zijn vele mensen die een VPN willen gebruiken om verschillende redenen, en dat DNS-leak ergerde mij. In de GUI clients schijnt het opgelost, maar op de commandline gaat het niet goed. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://www.vandervlis.nl/
Re: OpenVPN en "dns leakage"
On Wed, 26 Feb 2020 12:11:37 +0100 Paul van der Vlis wrote: > > Dat is wel erg bot. Je kunt openvpn ook de resolv.conf laten > > aanpassen, up is niet zo'n probleem (dan is-ie nog root), down heb > > je sudo voor nodig. > > Heb je daar een mooi scriptje voor? Nee, ik gebruik die optie nooit, alhoewel ja, om routes toe te voegen of policy routing aan te sturen, maar dat hoeft alleen maar bij het "up" komen van het device want als het device verdwijnt ruimt de kernel de bijbehorende routes op. In de config: up /path/to/script start down /path/to/script stop Het "up" script draait als "root", maar bij "down" moet je wel sudo gebruiken omdat de tunnel default dan onder de user nobody draait (ik zou daar een aparte user voor nemen iig) Je zou simpelweg een /etc/openvpn/resolv/resolv-ovpn.conf /etc/openvpn/resolv/resolv-default.conf kunnen aanmaken en daar in die specifieke dir /etc/openvpn/resolv (die writable is voor de user openvpn) een "ln -sf resolv.conf" op kunnen loslaten door dat script dat openvpn aanstuurt. En dan maak je als root in de /etc/ dir een link naar ln -s /etc/openvpn/resolv/resolv.conf /etc/resolv.conf > > En je vertrouwt de DNS aan de andere kant van de tunnel wel? > > Dat is mijn eigen DNS-server. Op het moment nog DNSmasq die verwijst > naar mijn eigen DNS-servers maar ik wil er Bind9 van maken wat > rechtsstreeks bij de root-servers navraagt. Ik zou unbound gebruiken, dat is een recursive only resolver. Maar dat terzijde. > > Verplaats je niet gewoon het probleem? > > Iemand wil vaak een VPN omdat hij films download o.i.d. Op deze manier > kan de ISP niet meer zien wat voor naam je resolved. > > En als er een andere nameserver gebruikt zou worden dan ziet die ook > alleen het IP van de VPN. Ja ok, het gaat dus niet om security maar om het verbergen van illegale activiteiten :-) -- richard lucassen http://contact.xaq.nl/
Re: OpenVPN en "dns leakage"
Op 26-02-2020 om 11:39 schreef Richard Lucassen: > On Wed, 26 Feb 2020 11:27:18 +0100 > Paul van der Vlis wrote: > >> Wat ik uiteindelijk maar heb gedaan is het volgende: >> Ik heb resolvconf verwijderd. >> Ik heb /etc/resolv.conf niet te wijzigen gemaakt met: >> chattr +i /etc/resolv.conf > > Dat is wel erg bot. Je kunt openvpn ook de resolv.conf laten aanpassen, > up is niet zo'n probleem (dan is-ie nog root), down heb je sudo voor > nodig. Heb je daar een mooi scriptje voor? >> Tja, nu is alleen de nameserver wel statisch geworden, niet helemaal >> wat ik wou. Ik gebruik het VPN-IP van VPN-server als nameserver. >> >> Geen DNS leakage meer volgens https://www.dnsleaktest.com/ . > > En je vertrouwt de DNS aan de andere kant van de tunnel wel? Dat is mijn eigen DNS-server. Op het moment nog DNSmasq die verwijst naar mijn eigen DNS-servers maar ik wil er Bind9 van maken wat rechtsstreeks bij de root-servers navraagt. > Verplaats je niet gewoon het probleem? Iemand wil vaak een VPN omdat hij films download o.i.d. Op deze manier kan de ISP niet meer zien wat voor naam je resolved. En als er een andere nameserver gebruikt zou worden dan ziet die ook alleen het IP van de VPN. Groeten, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://www.vandervlis.nl/
Re: OpenVPN en "dns leakage"
On Wed, 26 Feb 2020 11:27:18 +0100 Paul van der Vlis wrote: > Wat ik uiteindelijk maar heb gedaan is het volgende: > Ik heb resolvconf verwijderd. > Ik heb /etc/resolv.conf niet te wijzigen gemaakt met: > chattr +i /etc/resolv.conf Dat is wel erg bot. Je kunt openvpn ook de resolv.conf laten aanpassen, up is niet zo'n probleem (dan is-ie nog root), down heb je sudo voor nodig. > Tja, nu is alleen de nameserver wel statisch geworden, niet helemaal > wat ik wou. Ik gebruik het VPN-IP van VPN-server als nameserver. > > Geen DNS leakage meer volgens https://www.dnsleaktest.com/ . En je vertrouwt de DNS aan de andere kant van de tunnel wel? Verplaats je niet gewoon het probleem? R. -- richard lucassen http://contact.xaq.nl/
Re: OpenVPN en "dns leakage"
Op 24-02-2020 om 18:50 schreef Paul van der Vlis: > Hoi, > > Ik probeer OpenVPN zo op te zetten dat er geen "dns leakage" is. > > Als ik de VPN start dan wordt netjes de dns gewijzigd in > /etc/resolv.conf door update-resolv-conf. Echter, er wordt hier alleen > een DNS toegevoegd, de oude is er ook nog. Ik wil dat alleen de DNS > wordt gebruikt die door OpenVPN wordt gepushed. > > Heeft iemand hier een mooie CLI oplossing voor? > > Het gaat om een Freedombox, dit gebruikt networkmanager en firewalld. > Ik heb "resolvconf" geinstalleerd om update-resolv-conf werkend te > krijgen, dit was niet standaard geinstalleerd. Wat ik uiteindelijk maar heb gedaan is het volgende: Ik heb resolvconf verwijderd. Ik heb /etc/resolv.conf niet te wijzigen gemaakt met: chattr +i /etc/resolv.conf Tja, nu is alleen de nameserver wel statisch geworden, niet helemaal wat ik wou. Ik gebruik het VPN-IP van VPN-server als nameserver. Geen DNS leakage meer volgens https://www.dnsleaktest.com/ . Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://www.vandervlis.nl/