mogbo
Banned
Hallo,
Ausschnitt *.ovpn
Damit mein up.conf Script funktioniert habe ich natürlich die entsprechenden Ordner in /var/empty hinterlegt und die Config darin platziert. Da das Ausführen der *.ovpn Datei noch im root geschieht habe ich:
Gehe ich mit einer leeren chroot einen "sichereren" Weg, bzw. einen saubereren? Der Inhalt der up.conf ist lediglich eine pf.conf die mit pfctl -f /var/empty/etc/pf.conf ausgeführt wird. Notfalls könnte ich mir auch ein Script basteln, was das ganze außerhalb der chroot ausführt, wäre dann natürlich nicht innerhalb der *.ovpn Datei ausführbar und somit ein klein wenig unübersichtlicher.
EDIT: Glaube mir fällt grad selber auf wie dämlich es ist eine pfctl innerhalb einer chroot auszuführen...
Weiterhin habe ich ein DNS-leak Problem, was lustigerweise beim ersten Start von OpenVPN (direkt nach dem Boot) bisher nie aufgetreten ist.
Meine DNS wird von unbound an 127.0.0.1@5353 weitergegeben und fragt dann über einen dnscrypt-Server an, diesen sehe ich dann als Leak.
Meine resolv.conf enthält (was ich nur sehr ungerne ändern würde)
Der Hauptgrund warum ich nur ungerne die resolv.conf ändere ist der Fortbestand des Inhalts nach jedem Neustart und ein
gleicht nach meinem Erachten einem Alptraum
Ich denke mit einer Anpassung via Script könnte ich diesen Leak umgehen (ständiges Ändern auf den DNS-Server des VPNs), da er jedoch nach dem Boot nicht leaked sollte es auch anders möglich sein?
Könnte ich dieses Problem evtl mit dem vollständigen Schließen der Firewall erreichen, sodass Traffic nurnoch über das VPN-Port rausgeht? Reicht ein Schließen von Port 53 auf dem Ausgangsinterface bzw. dem Blocken von Port 5353 auf lo? Habe bisher mehrere Linux-Guides auf meine Situation angepasst, musste jedoch ständig feststellen, dass ich das eigentliche Problem nicht verstehe und mehr oder weniger blind scrpiten möchte...
Bin denke ich nicht zu doof zum Googeln, das Thema DNS-Leak wird jedoch komischerweise fast überall ignoriert oder mit sehr komischen Workarounds gelöst, zB.:
Füge in die resolv.conf:
ein, dann klappts. Ging auch lustigerweise, finde ich jedoch ziemlich dämlich, weil naja, braucht man denke ich nichts zu sagen...
Ausschnitt *.ovpn
Code:
user _openvpn
group _openvpn
chroot /var/empty
up /etc/openvpn/up.conf
Damit mein up.conf Script funktioniert habe ich natürlich die entsprechenden Ordner in /var/empty hinterlegt und die Config darin platziert. Da das Ausführen der *.ovpn Datei noch im root geschieht habe ich:
Code:
chown root:wheel /var/empty/etc
chown root:wheel /var/empty/etc/*
chown root:wheel /var/empty/etc/openvpn
chown root:wheel /var/empty/etc/openvpn/*
chmod 700 /var/empty/etc
chmod 700 /var/empty/etc/*
chmod 700 /var/empty/etc/openvpn
chmod 700 /var/empty/etc/openvpn/*
EDIT: Glaube mir fällt grad selber auf wie dämlich es ist eine pfctl innerhalb einer chroot auszuführen...
Weiterhin habe ich ein DNS-leak Problem, was lustigerweise beim ersten Start von OpenVPN (direkt nach dem Boot) bisher nie aufgetreten ist.
Meine DNS wird von unbound an 127.0.0.1@5353 weitergegeben und fragt dann über einen dnscrypt-Server an, diesen sehe ich dann als Leak.
Meine resolv.conf enthält (was ich nur sehr ungerne ändern würde)
Code:
127.0.0.1
Der Hauptgrund warum ich nur ungerne die resolv.conf ändere ist der Fortbestand des Inhalts nach jedem Neustart und ein
Code:
echo '/pfad/zu/echo "nameserver 127.0.0.1" > /etc/resolv.conf' >> /etc/rc.local
Ich denke mit einer Anpassung via Script könnte ich diesen Leak umgehen (ständiges Ändern auf den DNS-Server des VPNs), da er jedoch nach dem Boot nicht leaked sollte es auch anders möglich sein?
Könnte ich dieses Problem evtl mit dem vollständigen Schließen der Firewall erreichen, sodass Traffic nurnoch über das VPN-Port rausgeht? Reicht ein Schließen von Port 53 auf dem Ausgangsinterface bzw. dem Blocken von Port 5353 auf lo? Habe bisher mehrere Linux-Guides auf meine Situation angepasst, musste jedoch ständig feststellen, dass ich das eigentliche Problem nicht verstehe und mehr oder weniger blind scrpiten möchte...
Bin denke ich nicht zu doof zum Googeln, das Thema DNS-Leak wird jedoch komischerweise fast überall ignoriert oder mit sehr komischen Workarounds gelöst, zB.:
Füge in die resolv.conf:
Code:
nameserver 8.8.8.8