Как защитить соединение PPTP – Windows 7?

Существует компьютер, подключающийся к VPN. Сеть должна оставаться в автономном режиме, если аппарат не может подключиться к VPN. Он никогда не должен использовать обычное соединение. Только VPN.

Есть ли способ установить это поведение?
Машина используется локально, поэтому нет необходимости добираться до нее из сети или чего-то еще.

Клиентская ОС: Windows 7 Professional x64 SP1

Этого можно достичь, настроив брандмауэр, чтобы разрешить только соединения с IP-провайдером VPN и / или TCP-портом 1723 и портом UDP 47.

Если вы используете несколько VPN-провайдеров, блокировка на основе портов проще. Если нет, блокировка на основе IP более безопасна. В любом случае вы можете использовать оба варианта.

Например, вы можете настроить брандмауэр Windows для этого:

  1. Предположим, вы используете superfreevpn.com ( 69.60.121.29 ).

  2. Подключение к Интернету и VPN.

  3. Нажмите Win + R и выполните control /name Microsoft.NetworkandSharingCenter .

  4. В разделе « Просмотр активных подключений» нажмите ссылку « Главная / Работа / Общественная сеть» ниже вашего подключения к Интернету и выберите « Общественная сеть» .

  5. В разделе « Просмотр активных подключений» нажмите ссылку « Главная страница / Работа / Общественная сеть» ниже вашего VPN-подключения и выберите « Рабочая сеть» .

  6. Нажмите Win + R и выполните WF.msc .

  7. В брандмауэре Windows с расширенной безопасностью на локальном компьютере нажмите « Действие» , затем « Свойства» перейдите на вкладку « Частный профиль » и установите следующее:

     Firewall state: On (recommended) Inbound connections: Block all connections Outbound connnections: Allow (default) 
  8. На основе портов

    • В правилах исходящей почты нажмите « Действие» , затем « Новое правило …» и выберите следующее:

       Port TCP Specific remote ports: 1-1722, 1724-65535 Block the connection Public Public TCP 
    • В правилах исходящей почты нажмите « Действие» , затем « Новое правило …» и выберите следующее:

       Port UDP Specific remote ports: 1-46, 48-65535 Block the connection Public UDP 

    IP на основе

    • В правилах исходящей почты нажмите « Действие» , затем « Новое правило …» и выберите следующее:

       Custom All programs Any Any IP address These IP adresses Add This IP address range -> From: 0.0.0.0 To: 69.60.121.28 Add This IP address range -> From: 69.60.121.30 To: 255.255.255.255 Block the connection Public Non-VPN на Custom All programs Any Any IP address These IP adresses Add This IP address range -> From: 0.0.0.0 To: 69.60.121.28 Add This IP address range -> From: 69.60.121.30 To: 255.255.255.255 Block the connection Public Non-VPN 
  9. Поскольку мы заблокировали все DNS-запросы, superfreevpn.com VPN, теперь superfreevpn.com не будет разрешен.

    Либо измените свое VPN-соединение, заменив имя хоста его IP-адресом, либо добавьте следующую строку в список %windir%\system32\drivers\etc\hosts :

     69.60.121.29 superfreevpn.com 

Неправильно адаптирован для того, как настроить брандмауэр таким образом, чтобы при отключении VPN все просмотры остановились .

Небольшое дополнение к отличному ответу Денниса : если ваше интернет-соединение настроено на использование DHCP (как и большинство других), вы не сможете получить IP-адрес, если не исключить адрес сервера DHCP и широковещательный адрес 255.255.255.255.

Запустите ipconfig /all (пока DHCP все еще работает), чтобы найти адрес вашего DHCP-сервера. Предположим, что это 192.168.2.1 а VPN-сервер – 69.60.121.29 , как в примере Денниса. Затем вы должны настроить блокировку для следующих диапазонов IP:

 From 0.0.0.0 to 69.60.121.28 From 69.60.121.30 to 192.168.1.255 From 192.168.2.2 to 255.255.255.254 

В качестве временного обходного пути вы также можете отключить правило исходящего брандмауэра, которое блокирует все. Это удобно, если вы уже «потеряли» свой IP-адрес и не знаете адрес вашего DHCP-сервера.

(Кредит Marcks Thomas за оригинальный ответ . Я просто добавляю его к этому вопросу, если другие пользователи столкнутся с одной и той же проблемой.)

Другое, несвязанное дополнение: может быть хорошей идеей отключить обнаружение сети и общий доступ к файлам и принтерам для домашних / рабочих сетей, если вы выполните описанные выше шаги, учитывая, что вы настроили весь Интернет как свою сеть «Работа». Вы можете сделать это в разделе Центр управления сетями и общим доступом , Изменить параметры расширенного совместного доступа .

Альтернативный ответ – использование маршрутов

Вы можете удалить маршрут по умолчанию через реальное подключение к Интернету и добавить маршрут только к VPN-серверу. Это проще, чем брандмауэр Windows, но есть улов: Windows будет повторно добавлять маршрут по умолчанию всякий раз, когда он подключается к сети. Вы можете обойти это с помощью планировщика заданий, чтобы делать свои изменения всякий раз, когда он подключается.

Хорошим бонусом является то, что вы также можете автоматически подключаться к VPN при каждом подключении к сети, предоставляя вам имя пользователя и пароль.

Сначала создайте пакетный файл следующим образом:

 @ECHO OFF REM IP address of the real gateway you use to connect to the Internet SET REAL_GATEWAY_IP=192.168.2.1 REM (External) IP address of the VPN server SET VPN_SERVER_IP=69.60.121.29 REM Delete default route via the real gateway route delete 0.0.0.0 %REAL_GATEWAY_IP% REM Add a route to the VPN server via the real gateway route add %VPN_SERVER_IP% mask 255.255.255.255 %REAL_GATEWAY_IP% metric 1 REM To connect to the VPN (optional): rasphone -d "My VPN connection name" 

Затем добавьте запланированное задание в планировщик заданий для запуска командного файла с помощью триггера, настроенного следующим образом:

Конфигурация запуска задачи

Вы также можете снять флажок «Запустить задачу только в том случае, если компьютер включен» на вкладке «Условия» и выбрать «Запустить вход пользователя или нет» на вкладке «Общие».

Затем маршруты должны обновляться при каждом подключении к сети, и вы можете проверить их, выполнив route print – не должно быть маршрута до 0.0.0.0 через реальный шлюз.

  • MiniDLNa локальный AND над openvpn
  • В чем разница между прокси-сервером и VPN?
  • Как создать ярлык для VPN-соединения?
  • Как использовать одно подключение к Интернету для VPN, а другое - для доступа к другим сайтам?
  • VPN: Проводят ли все трафик через VPN при входе в систему?
  • Как настроить сетевой менеджер Ubuntu / Linux для выборочного маршрутизации сетевого трафика через VPN?
  • Подключение к VPN с помощью командной строки приводит к ошибке 691
  • Как перенаправить определенные приложения через VPN и другие, чтобы использовать мое «стандартное» соединение в OSX 10.6?
  • Как получить доступ к VPN-серверу с частным IP-адресом?
  • SSL / TLS vs SSL / TLS-VPN
  • Начать настройку VPN из командной строки (OSX)
  • Давайте будем гением компьютера.