web-dev-qa-db-ja.com

Open VPNにDNSリークがあります

www.dnsleaktest.com を使用しているため、Open VPNを使用するすべてのVPNサービスがトンネルを介してDNSをリークすることがわかりました。

私はいくつかのVPNプロバイダーを試してテストしました。たとえば、MulvadなどのDNSリーク問題の解決策があると言っていても、すべてリークします。 dnsleaktest.comに加えて、ログオン時にIPアドレスを記録する私の電子メールプロバイダーを介してDNSリークを確認しました。 VPNを使用しても、実際のIPが記録されます。あなたのIPタイプのサイトは、私のIPがVPNサーバーからではないのにVPNサーバーから来ていると言っています。 dnsleaktestのWebサイトからのリンク からダウンロードしたパッチスクリプトを使用してリークを修正しようとしましたが、これでリークを止めることはできません。 Windows 7のアダプター設定のプロパティメニューを使用してルーマニアでリモートDNSリゾルバーを手動で構成しましたが、まだリークがあります。

漏れていないことが2つだけわかった。 1つはUltrasurfです(これはブラウザーで手動で構成する必要があります127.0.0.1:9666)およびEpicプライバシーブラウザーに組み込まれているプロキシ。残念ながら、これらはVPNトンネルではなくプロキシであるため、サーバーはログを生成しますが、少なくとも私のISPは現在盲目であり、誰かが私のサーフィンの習慣を知りたければ、プロキシサーバーログにアクセスするタスクを引き受ける必要があります。 DNSがリークしないため、有料VPNサービスの使用を中止し、プロキシを使用しています。

Open VPNのリークの問題に誰かが気づき、リークの解決策を見つけたかどうか知りたいです。

3
Mike

VPNはDNSをリークせず、DNSリークを抑制しません。 VPNは、リモートネットワークへの暗号化された接続にすぎません。それで何をするか(DNS、ブラウジングなど)は完全にあなたとあなたの設定次第です。つまり、DNS情報がVPNを通過するかどうかは、そのVPNリンクを使用するようにコンピューターを構成した方法に依存します。

VPNを介してインターネットトラフィックのallを送信するようにワークステーションを構成する「フルトンネル」VPNは、何もリークしません(不可能)。

ただし、フルトンネルまたはスプリットトンネルを実行するかどうかは、VPNの機能ではありませんが、それはユーザーのコンピューターの構成とルーティングテーブルによって決まります。

プロキシアドレスを使用するようにブラウザーを再構成するこの "Ultrasurf"はVPNではないことに注意してください。それはプロキシです。また、プロキシサーバーはVPNではありません。

12
tylerl

OpenVPNで同じ問題が発生した可能性がある他の人のために見つけた解決策を示しています。何が起こっているのかをさらに明確にするために、リークの問題を阻止するために、タップアダプターと通常のローカルエリア接続。 VPNを起動してメールにアクセスすると、そこにISPが記録されていたため、DNSがリークしていました。これは、上記のように手動で変更した結果でもありました。昨日、私はOpenDNSからDNSCryptと呼ばれるアプリケーションをダウンロードし、それをインストールしてテストを再度行いましたが、vpnを実行するときにリークがなくなったようです。

新しいテストでは、それが配置されている国のVPNサーバーのみがIPチェックのWebサイトと私のメールログオン履歴に表示されることが示されました。また、dnsleaktest.comリークテストでは、接続しているvpnサーバーが国にあるOpen DNSサーバーのみが表示され、サーバーがまったく表示されない場合もあります。アプリケーションDNSCryptは、127.0.0.1へのすべてのローカルエリア接続に対して優先DNS設定を構成しました。また、DNSCryptアプリケーションは、アダプターのプロパティメニューを閉じるとすぐに、私が行おうとした変更が127.0.0.1に戻ったため、優先DNS設定への手動による変更を防止します。 Nice dns Hijack保護機能。

もちろん、一部のOpenDNSサーバーはログを保持しますが、少なくとも私のISPであるClearwireが使用する透過DNSプロキシの問題は解決され、ログを必要とするユーザーはサーバーを検索できるようになります。

2
Mike

Pavel Ryzhovには、ovpnファイルの最後に数行を追加するという解決策があり、これは私のために機能しました: https://askubuntu.com/a/949272/311570

彼のソリューションをコピーするには:

openvpnにシステムDNS設定を変更させてリークを排除するには、*.ovpn構成ファイルの最後に次の行を追加します。

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

これの詳細は彼の投稿に含まれています。

1
hekimgil

Chrome:uBlock Originをダウンロード->設定-> <x> Prevent WebRTC from leaking local IP address

FIREFOX:URLを入力-> about:config->タイプmedia.peerconnection.disableからTRUE

0
D3jWheeL

ほとんどのVPNサービスは「redirect-gateway def1」をプッシュするため、何かが「リーク」している可能性はほとんどありません。 Wiresharkで確認できます。タップアダプターがVPNで指定されたDNSサーバーを使用していないだけで、ローカルにキャッシュされているサーバーです。

最も簡単な「解決策」は、LANルーターのDNSサーバーをISPのデフォルトから、たとえば WikiLeaksによって提案 に変更することです。コンピューターのDNSキャッシュをフラッシュすると、ISPに直接接続できなくなります。

Windowsでは、VPNタップアダプターにDNSサーバーを指定できますが、これをVPNでテストしたことはありません。 LinuxとNetwork Managerでは、VPNトンネル用のDNSサーバーを確実に指定できます。私はpfSense VMをVPNクライアントとして使用し、LANのDHCPで適切なDNSサーバーをハードコーディングすることを好みます。

VPNトンネルが開かない場合、すべてがリークします。 Wiresharkでキャプチャ中にOpenVPNプロセスを強制終了し、;)を参照してください。これを防ぐには、VPNへのトラフィックを制限するルーティングとファイアウォールルールが必要です。 WindowsでComodoを使用でき、AirVPNフォーラムにルールが投稿されています。 Linuxの場合、adrelanosのVPNファイアウォールは簡単で効果的です。 pfSenseを保護するのは非常に簡単です。

0
mirimir

私もこの問題を抱えています。 OpenVPNだけでは知らされずにDNSを変更するとは思わない。 Windowsを使用している場合は this をお勧めします。Linuxマシンを使用している場合は、「/ etc/resolv.conf」のDNSを変更するだけです。

0
Erich

「プライベートインターネットアクセス」設定には「DNSリーク保護」と呼ばれるオプションがあります。その設定をチェックすると、 http://ipleak.net/ のようなオンラインテストで明らかなリークはありません。ただし、プラグオプションはインターネット接続を混乱させます。オプションを有効にした後の最初の再起動では、接続できなくなります。選択を解除した後、通常の使用に戻る前に、再度ブートする必要がある場合があります。ポイントはそれが機能することです-あなたが本当にあなたが漏れ保護を必要としていると感じるセッションのためにそれを使うことができます。

0
electrowing

匿名VPNに接続するときにアダプター設定を簡単に変更できるように、いくつかのバッチファイルを作成しました。これは、手動でアダプター設定に入るよりも簡単です。

Windows OSの場合、これをメモ帳に貼り付け、VPNON.batとして保存します。 Ethernetをインターフェースの実際の名前に変更します。

netsh interface IPv4 set dnsserver "Ethernet" static 0.0.0.0 both
ipconfig /flushdns

そして、これをVPNOFF.batとして保存します

netsh interface IPv4 set dnsserver "Ethernet" dhcp
ipconfig /flushdns

VPNに接続した後、VPNON.batファイルを実行します。切断後、VPNOFFを実行します。 https://www.dnsleaktest.com/ でテストするか、必要に応じてテストしてください。 OSのバージョンによっては、「管理者として実行」オプションを使用する必要がある場合があります。 Linuxユーザーの場合、同じことを行うためのシェルスクリプトファイルを作成する方法を知っていると思います。

0
Dave