信頼されていないVPNクライアントがネットワークアクティビティを監視できますか？

vPN経由で接続しているとき、クライアントは自分のマシンで実行していることを監視できますか

実際にインストールされているもの、およびVPNクライアントの構成方法によって異なります。

通常のVPNクライアントは、一般的に何を行っているかに関する情報を転送しません。サーバーは、ファイルを編集していることを認識しておらず、編集しているファイルも認識していません。

ただし、ネットワークトラフィックは（明らかに）処理され、そのトラフィックから多くの情報を判別できます。たとえば、VPNサーバーの管理者は、TeamViewerを使用しているか（実際のデータではなく、暗号化されているか）、YouTubeを視聴しているか（実際のビデオのURLではなく、暗号化されているか）、またはメールを送信する（ただし、実際のメールの内容は送信しない）。言い換えれば、彼らはあなたのISPが見るものすべてを見ますが、通常はそれ以上何もしません。

したがって、最初に、VPNクライアントは、トンネルを介してallトラフィックをルーティングするか、または特定のトラフィックのみをルーティングするように構成できます。 （学校/会社のネットワークにのみ接続するVPNを使用することは非常に一般的ですが、他のすべてはそのままで、別名「スプリットトンネル」VPNです。）

クライアントが正直な（怠惰ではない）場合は、VPNを構成して、そのクライアントのサーバーへのトラフィックのみをキャッチし、それ以外は何もキャッチしません。ただし、それらはcanもすべてのトラフィック（または競合他社のWebサイトへのトラフィックなど）のみをキャプチャするようにVPNクライアントを構成できます。もちろん、すべてのトラフィックに対してVPNを有効にすること自体は悪意のあることではありませんが、クライアントがあなたを監視することを可能にします。

そして、あなたの場合、「自分のVPNに接続しているときにIPアドレスが異なる」とは、すべてがVPNを通過することを強く示しています。

しかし、第2に、VPNがインストールされているかどうかだけは100％わかりません。彼らが他のソフトウェアをインストールした可能性があります。すべてのブラウザーの訪問を明確にログに記録するもの、または現在アクティブなプログラムを追跡するもの。

クライアントが他のタスクを監視できないようにできますか？

あなたはクライアントがあなたのコンピュータにソフトウェアをインストールすることを許可しました–あなたはすでに失っています。

安全を保ちながら、クライアントのネットワークに接続するためにVPNを使用することは可能です。ただし、これを行う方法は、使用する必要のあるVPNクライアントによって異なります。

まず、VPNクライアントに（クライアントに許可させるのではなく）提供された情報から自分でダウンロードして構成する必要があり、VPNクライアントに「リモートプロビジョニング」機能がないことを確認する必要があります。ローカルでより多くのコンポーネントをインストールできるようにします。

疑わしい場合は、クライアント提供のソフトウェアのみを別のマシン（おそらくVM）にインストールします。メインコンピューターにはインストールしないでください。

クライアントがVPNをインストールしている、

はい、彼らは概念的に、スパイを含むあなたがやりたいことを何でもすることができます。それらを完全に信頼しない場合、予防策にはすでに遅すぎます。それらはおそらく実際には悪意のあるものではないので、マシンをワイプするだけ（つまり、OS /ソフトウェアの再インストール）で十分でしょう。

私の質問は、VPN経由で接続しているときに、クライアントが自分のマシンで実行していること（YouTubeの表示、画面共有、別のクライアントプロジェクトでの作業など）を監視できるかどうかです。

彼らはすでにあなたのマシンをルート化していることに加えて、ネットワークの観点からこれを見ると、VPNを構成するいくつかの方法があります。それらの1つは、VPNエンドポイントがインターネットに接続するように、すべてのトラフィックをトンネル経由でルーティングすることです。この場合、訪問しているサイトと時間についてのメタデータを見ることができますが、HTTPS接続またはSSH接続の暗号化されたペイロードは安全でなければなりません。ええと、彼らは暗号化を妨害して、より深くスヌープできるかもしれないという事実に加えて、一部のenterpriseスタイルのネットワークツールは、クライアントエンドポイントのインストール時にデフォルトでこれを実行しますソフトウェア。

次回の予防策

クライアントがマシンにソフトウェアをインストールすることを許可しないでください。ずっと。特にそれについて不安を感じる場合は。開発マシンを制御することが非常に重要である場合、開発マシンを提供するように依頼します。それ以外の場合は、優れた仮想化ソフトウェア（基本的にVMWareワークステーション）のコピーを購入し、開発内でVPNを構成するVM自分で。

VPNに接続しているときにIPアドレスが異なります。

WIMI（What Is My IP） https://wimi.com/ などのサービスによって示されるように、インターネット上のパブリックIPアドレスを参照していると仮定します。

これは、VPNクライアントがすべてのトラフィックをVPN経由でリダイレクトしていることを意味します。 OpenVPNはこれを「デフォルトゲートウェイリダイレクト」と呼び、すべてのインターネットトラフィックがネットワークを介してinetリンクからネットワークに送信され、インターネットに戻っています。

ネットワーク内の任意のプロキシサーバー/ファイアウォールデバイスがトラフィックを監視する可能性があります。

短期的な修正は、ローカルマシンでシステムのルーティングテーブルを変更し、VPNが接続されたらデフォルトゲートウェイを復元することです。

管理者コマンドプロンプトを起動して実行する

 route print

これは、Windowsのipv4ルートテーブルの上部です。

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

カスタマーVPNが接続されている場合と接続されていない場合のデフォルトゲートウェイ回線の違いを比較することをお勧めします。

クライアントVPNに接続した直後に（管理者として）実行するコマンドは次のようになると思います。

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

これは、VPNによって行われる可能性のあるIPv6の変更を示しています。また、VPNがすべてのDNSリクエストをクライアントのDNSサーバーに送信する場合は、DNSリゾルバーを確認する必要があります。

クライアントVPNがOpenVPNベースの場合、ローカル設定ファイルを編集して、次のような行を追加できます

 pull-filter ignore redirect-gateway

VPNに付属しているDNSサーバーを上書きする場合は、次のような行でこれらの設定を無視します。

 pull-filter ignore "dhcp-option DNS "

https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway に文書化