LinuxでのSurfshark VPN流出

LinuxでのSurfshark VPN流出

今日はSurfshark VPNを設定しましたが、Amazonがそれを検出できるようです。

デバイスはVPNまたはプロキシサービスを使用してインターネットに接続します。無効にしてもう一度お試しください。さらに支援が必要な場合は、amazon.com/pv-vpnにアクセスしてください。

カスタマーサポートチームに連絡して、resolv.confポイントをSurfsharkサーバーに手動で変更しましたが、まだ機能しません。

漏れを検出してVPNを設定するにはどうすればよいですか?

修正する:私のDNSが流出しているようです。これに従ってください。郵便はがきネットワークを修正しましたが、まだ成功していません。

mengo@mengo-desktop:~$ grep hosts /etc/nsswitch.conf
hosts:          files mdns4_minimal [NOTFOUND=return] dns myhostname

mengo@mengo-desktop:~$ head /etc/resolv.conf 
nameserver 162.252.172.57
nameserver 149.154.159.92
nameserver 162.252.172.57
nameserver 149.154.159.92
nameserver 127.0.0.53

mengo@mengo-desktop:~$ head /etc/resolvconf/interface-order 
# interface-order(5)
lo.inet6
lo.inet
lo.@(dnsmasq|pdnsd)
lo.!(pdns|pdns-recursor)
lo
tun*
tap*
hso*
vpn*

mengo@mengo-desktop:~$ cat /etc/NetworkManager/NetworkManager.conf 
[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[device]
wifi.scan-rand-mac-address=no

アップデート2:

mengo@mengo-desktop:~$ resolvectl status
Global
...
   Current DNS Server: 162.252.172.57      
         DNS Servers: 162.252.172.57      
                      149.154.159.92
...
// This entry is shown when vpn is active
Link 3 (tun0)
      Current Scopes: none
DefaultRoute setting: no  
       LLMNR setting: yes 
MulticastDNS setting: no  
  DNSOverTLS setting: no  
      DNSSEC setting: no  
    DNSSEC supported: no
Link 2 (enp0s25)
...
  Current DNS Server: 192.168.1.1
         DNS Servers: 192.168.1.1

// connect vpn will create a new file `tun0.openvpn` which contains their server address
mengo@mengo-desktop:~$ ls /run/resolvconf/interface/
systemd-resolved  tun0.openvpn
mengo@mengo-desktop:~$ cat /run/resolvconf/interface/tun0.openvpn 
nameserver 162.252.172.57
nameserver 149.154.159.92
// I don't see vpn related entry here
mengo@mengo-desktop:~$ nmcli c show tun0 | grep -i dns
connection.mdns:                        -1 (default)
ipv4.dns:                               --
ipv4.dns-search:                        --
ipv4.dns-options:                       --
ipv4.dns-priority:                      100
ipv4.ignore-auto-dns:                   no
ipv6.dns:                               --
ipv6.dns-search:                        --
ipv6.dns-options:                       --
ipv6.dns-priority:                      100
ipv6.ignore-auto-dns:                   no
// DNSOverTLS seems enabled by default
mengo@mengo-desktop:~$ cat /etc/systemd/resolved.conf | grep DNSOverTLS
#DNSOverTLS=no

アップデート3 VPNが起動または終了すると、一部のパケットがコンソールに書き込まれるようです。これは定期的に発生します。

sudo tcpdump -i any -s0 -Knpvv host 192.168.1.1 and \(tcp port 53 or udp port 53\)
18:00:28.037630 IP (tos 0x0, ttl 64, id 35268, offset 0, flags [DF], proto UDP (17), length 86)
    192.168.1.24.42322 > 192.168.1.1.53: 62333+ [1au] AAAA? connectivity-check.ubuntu.com. ar: . OPT UDPsize=512 (58)
18:00:28.049945 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 147)
    192.168.1.1.53 > 192.168.1.24.42322: 62333 q: AAAA? connectivity-check.ubuntu.com. 0/1/1 ns: ubuntu.com. SOA ns1.canonical.com. hostmaster.canonical.com. 2018053142 10800 3600 604800 3600 ar: . OPT UDPsize=512 (119)
18:01:56.945889 IP (tos 0x0, ttl 64, id 37261, offset 0, flags [DF], proto UDP (17), length 86)
    192.168.1.24.50380 > 192.168.1.1.53: 11200+ [1au] A? connectivity-check.ubuntu.com. ar: . OPT UDPsize=512 (58)
18:01:56.958968 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 118)
    192.168.1.1.53 > 192.168.1.24.50380: 11200 q: A? connectivity-check.ubuntu.com. 2/0/1 connectivity-check.ubuntu.com. A 35.222.85.5, connectivity-check.ubuntu.com. A 35.224.99.156 ar: . OPT UDPsize=512 (90)

オペレーティングシステム:Linux Mint 20。

答え1

現在5つのnameserver項目があり、/etc/resolv.confそのうち2つは重複しています。通常、サポートされる最大項目数は3つです。これは漏洩の原因ではないかもしれませんが、DNS検証が未定義の方法で機能し、何が起こっているのかを理解するのが難しくなります。または、追加のエントリが無視される可能性があります。しかし、システムは最初の3つを使用しますか、それとも最後の3つを使用しますか?

また、127.0.0.53が最後の項目としてリストされていますsystemd-resolved.service。これはsystemctl status systemd-resolvedそのエントリが実行されていることを確認し、その場合はresolvectl statusどのDNSサーバーを使用するように設定されているかを確認してください/etc/resolv.conf

DNS 漏洩は、Amazon が VPN を検出することとは関係がない可能性があります。 MariusMatutiaeが述べたように、彼らは接続試行が既知のSurfShark出口点であるIPアドレスからのものを単に検出して接続を拒否することができます。

/etc/resolvconf/interface-orderシステムに存在するため、おそらくインストールさresolvconfれている可能性が高いです。この場合、ls /run/resolvconf/interfaceDHCPおよび/または他の設定方法で受信したDNS設定を含む1つ以上のファイルを表示する必要があります。 SurfSharkを有効にすると、他のファイルが表示されるとSurfShark VPNクライアントがNetworkManagerをバイパスする可能性があるため、resolvconfVPNが有効になっている場合にのみSurfSharkの設定を使用するように設定を調整する必要があります。

という名前のファイルが1つしかない場合、NetworkManagerNetworkManager/run/resolvconf/interface/はオペレーティングシステムレベルのDNS設定を完全に制御します。この場合、いくつかの診断ステップは次のとおりです。

  • nmcli c showNetworkManagerに知られているすべてのネットワーク接続の名前を表示するには、実行します。 SurfShark VPNはここに含まれていますか?

  • SurfSharkがリストされている場合は、リストされている名前を記録してからSurfShark VPNを有効にして実行しますnmcli c show "place the actual connection name of SurfShark VPN here" | grep -i dns。 SurfShark VPN接続がNetworkManagerにDNSサーバー情報を提供した場合、このコマンドを使用するとその情報が一覧表示されます。

/etc/resolv.confどちらの方法もSurfSharkに関連するDNS設定を表示しない場合は、SurfShark VPNを有効/無効にしたときにコンテンツおよび/または出力が変更されていることを確認する必要があります。resolvectl statusVPNクライアントはこれらのいずれかまたは両方を直接操作できます。

どこでもVPNの有効化/無効化に関連する明確なDNS設定を変更することなく、SurfShark VPNクライアントはカーネルレベルのすべてのDNSトラフィックをSurfSharkサーバーにリダイレクトできます。実行方法によっては、ローカルで表示または表示されない場合があります。最も厳しい場合は、DNSトラフィックが実際にSurfSharkにリダイレクトされていることを確認するために外部トラフィックスニファが必要になることがあります。

さらに、最新のWebブラウザはDNS-over-HTTPSまたはDNS-over-TLSを使用できます。これらの技術は、オペレーティング・システム・レベル全体のホスト名解決インフラストラクチャーをバイパスし、DoH または DoT プロバイダーへの直接暗号化接続を確立します。これはDNSリークテストで検出された可能性があります。

(で設定が有効になっている場合は、DNS-over-TLSも使用できますsystemd-resolved。)DNSOverTLS/etc/systemd/resolved.conf

関連情報