web-dev-qa-db-ja.com

IPまたはドメイン名を使用してVPNに接続しますか?

背景:

そのため、私は自分のVPNをホストするために別の会社に支払う/信頼するのではなく、プライベートVPSを使用して自分のVPNをホストします。私は断続的な旅行者なので、選択したサーバーをスピンアップまたはスピンダウンする方が安上がりです。

私がVPNを使用する主な理由は、次のとおりです。1。信頼できないWiFiネットワークで安全を維持するため2.フィルタリングサービスを回避する3.現在それを使用している国でDNSロギングを回避する。

私に対する高度な攻撃や、私に対する政府の高レベルの調査には使用しません。 (私はDNSロギング/スヌーピングのような広範なブラシの監視技術から除外されたいだけです)

必要に応じてサーバーを上下に回転させるので、すべてのデバイスのOpenVPN構成ファイルでIPアドレスを毎回変更するのは面倒です。このように、自分の所有するサブドメイン(たとえば、VPNサーバーでvpn.mydomain.com(レコード))をポイントしました。必要なのは、スピンアップするたびにVPSのIPをポイントしていることを確認するだけです。トーゴ。

質問:

ドメイン名vpn.mydomain.comは暗号化されていないDNSによって解決されるため、誰でも私のトラフィックを見ることができます。最後に送信されたDNSリクエストがvpn.mydomain.comに対するものであり、暗号化されたVPNトラフィックのみが表示されます。その後、彼らがする必要があるのは、vpn.mydomain.comのIPを調べ、そのIPのDNSトラフィックを調べることだけです。そうすれば、私のDNSトラフィックを100%キャプチャできます。理由3を完全に元に戻しますか?

このロジックは有効ですか?私が考えることができる唯一の解決策は、スヌーピングなしで遠く離れた国でVPNサーバーをホストし、IPアドレスを手動で変更し続けるか、おそらく認証が失敗するいくつかの豪華なリダイレクト方法を使用することです。

Modsへのメッセージ:わかっています 「VPNにアクセスするためにドメイン名を使用するのは悪い考えですか?」 は非常によく似た質問ですが、この点については触れていません。

2
Harvs

TL; DR:とにかくVPN IPを取得できます。 DNSCryptを使用します

DNSCrypt を使用して、DNSリクエストを非表示にするには、実際には少し優れたソリューションがあります。もちろん、それをサポートする信頼できるDNSサーバーを見つける必要があります。これはVPNに追加できます。

ポイント3はそうです。あなたをスパイしている人々があなたのサーバー接続をスパイすることができるなら、彼らはあなたのトラフィックを見るでしょう、そしてそのVPNサーバーはおそらくランダムなパブリックwifi接続よりもあなたと関連付けるのが簡単なのでおそらく間違いなく簡単かもしれません。一方、これはあなたのVPNサーバーがどこにあるかに依存します。なぜなら、外国はあなたの国のサーバーを単にスパイすることができないからです(多分?うまくいけば?パラノイアがキック...)。

DNSサーバーのIPを取得するためにvpn.mydomain.comを使用することに関しては、実際には関係ありません。トラフィックを検査する攻撃者は、VPNに接続していて、VPN IPを直接取得していると言うことができます。

2
Peter Harmann
  1. 信頼できないWiFiネットワークで安全を維持するには2.フィルタリングサービスを回避する3.現在使用している国ではDNSロギングを回避する。

IPまたはドメインの使用の違いは、質問3にのみ関連します。ランダムに見えるサブドメインを作成できます:_jupiter.domain.com_は、_vpn.domain.com_よりも疑わしくありません。

あなたに対する政府の攻撃について心配していなければ、これで十分です。 [〜#〜] sslh [〜#〜] を使用して、サーバーの実際の使用をマスクすることもできます。その上にランダムな罪のないWebサイトをインストールし、Apache/Nginx/LightHTTPDとOpenVPNの両方を配置します同じポート。ブラウザを使用して接続すると、SSLHはリクエストをウェブサーバーに送信します。 OpenVPNクライアント経由で接続すると、OpenVPNサーバーが接続を受信します。

2
ThoriumBR