rodion.sqlподскажите как настроить OPEN VPN с защитой от утечек на Ubuntu ?
т.е. чтобы если соединение порвалось или вдруг open vpn стал пропускать траф на прямую (на виндовс такое бывает) чтобы сразу резался любой траф.

Траф надо заворачивать сразу в OPEN VPN через iptables,
как результат если соединение прервется, то программы вообще потеряют связь с итеренетом.

А под виндовс это тоже реализуется при помощи фильтрации фаерволлом,
можно встроенным но сложно, можно сторонним как через касперского,
либо есть специальные программульки которые пасут указанные программы на придмет соединения через VPN
и как только соединение рвется они указанные программы закрывают



Установка OpenVPN сервера на Ubuntu 12.04
# apt-get update
# apt-get install openvpn -y
# mkdir /etc/openvpn/easy-rsa
# cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
# vim /etc/openvpn/easy-rsa/vars
# cd /etc/openvpn/easy-rsa
# source vars
# ./clean-all
# ./build-ca



# ./build-key-server server1
# ./build-dh
# cd keys/
# cp ca.crt dh1024.pem server1.crt server1.key /etc/openvpn
# cd /etc/openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn
# gzip -d server.conf.gz
# vim server.conf
Изменим:
port 1195 (что бы сразу не палился стандартный 1194 порт, немного усложним задачу хакеров в поиске OpenVPN сервера).
и главное, что добавим это директиву: push redirect-gateway
Данная директива, как раз и означает, что весь трафик клиента будет направлен через OpenVPN сервер (он просто редактирует route и добавляет нужные записи).

И запустим наш сервер:
# /etc/init.d/openvpn start

Сгенерируем сертификат и ключ для клиента:
# cd /etc/openvpn/easy-rsa/
# source vars
# ./build-key client1

Настроим NAT, что бы трафик ходил через сервер:
# iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
# iptables -A FORWARD -d 10.8.0.0/24 -m state -state ESTABLISHED,RELATED -j ACCEPT
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT -to-source IP.IP.IP.IP

Что бы данные правила сохранились после перезагрузки, добавим данные правила в /etc/rc.local.

И включим форвардинг пакетов в ядре отредактировав файл:
# vim /etc/sysctl.conf
и раскомментируем строчку: net.ipv4.ip_forward=1

И что бы не перезагружаться лишний раз, применим данные изменения:
# echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

Скопируем client1.crt, client1.key, ca.crt на клиентский компьютер.

Настройка OpenVPN клиента на Ubuntu:
# sudo apt-get install openvpn
и создадим конфигурационный файл:
# cd /etc/openvpn
# vim client.conf
client
dev tun
proto udp
remote IP.IP.IP.IP Port
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.cer
cert client1.cer
key client1.key
comp-lzo
verb 3

И теперь просто запустим OpenVPN клиент:
# /etc/init.d/openvpn start