今日はSurfshark VPNを設定しましたが、Amazonがそれを検出できるようです。
デバイスはVPNまたはプロキシサービスを使用してインターネットに接続します。無効にしてもう一度お試しください。さらに支援が必要な場合は、amazon.com/pv-vpnにアクセスしてください。
カスタマーサポートチームに連絡して、resolv.confポイントをSurfsharkサーバーに手動で変更しましたが、まだ機能しません。
漏れを検出してVPNを設定するにはどうすればよいですか?
修正する:私のDNSが流出しているようです。これに従ってください。郵便はがきネットワークを修正しましたが、まだ成功していません。
mengo@mengo-desktop:~$ grep hosts /etc/nsswitch.conf
hosts: files mdns4_minimal [NOTFOUND=return] dns myhostname
mengo@mengo-desktop:~$ head /etc/resolv.conf
nameserver 162.252.172.57
nameserver 149.154.159.92
nameserver 162.252.172.57
nameserver 149.154.159.92
nameserver 127.0.0.53
mengo@mengo-desktop:~$ head /etc/resolvconf/interface-order
# interface-order(5)
lo.inet6
lo.inet
lo.@(dnsmasq|pdnsd)
lo.!(pdns|pdns-recursor)
lo
tun*
tap*
hso*
vpn*
mengo@mengo-desktop:~$ cat /etc/NetworkManager/NetworkManager.conf
[main]
plugins=ifupdown,keyfile
[ifupdown]
managed=false
[device]
wifi.scan-rand-mac-address=no
アップデート2:
mengo@mengo-desktop:~$ resolvectl status
Global
...
Current DNS Server: 162.252.172.57
DNS Servers: 162.252.172.57
149.154.159.92
...
// This entry is shown when vpn is active
Link 3 (tun0)
Current Scopes: none
DefaultRoute setting: no
LLMNR setting: yes
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: no
DNSSEC supported: no
Link 2 (enp0s25)
...
Current DNS Server: 192.168.1.1
DNS Servers: 192.168.1.1
// connect vpn will create a new file `tun0.openvpn` which contains their server address
mengo@mengo-desktop:~$ ls /run/resolvconf/interface/
systemd-resolved tun0.openvpn
mengo@mengo-desktop:~$ cat /run/resolvconf/interface/tun0.openvpn
nameserver 162.252.172.57
nameserver 149.154.159.92
// I don't see vpn related entry here
mengo@mengo-desktop:~$ nmcli c show tun0 | grep -i dns
connection.mdns: -1 (default)
ipv4.dns: --
ipv4.dns-search: --
ipv4.dns-options: --
ipv4.dns-priority: 100
ipv4.ignore-auto-dns: no
ipv6.dns: --
ipv6.dns-search: --
ipv6.dns-options: --
ipv6.dns-priority: 100
ipv6.ignore-auto-dns: no
// DNSOverTLS seems enabled by default
mengo@mengo-desktop:~$ cat /etc/systemd/resolved.conf | grep DNSOverTLS
#DNSOverTLS=no
アップデート3 VPNが起動または終了すると、一部のパケットがコンソールに書き込まれるようです。これは定期的に発生します。
sudo tcpdump -i any -s0 -Knpvv host 192.168.1.1 and \(tcp port 53 or udp port 53\)
18:00:28.037630 IP (tos 0x0, ttl 64, id 35268, offset 0, flags [DF], proto UDP (17), length 86)
192.168.1.24.42322 > 192.168.1.1.53: 62333+ [1au] AAAA? connectivity-check.ubuntu.com. ar: . OPT UDPsize=512 (58)
18:00:28.049945 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 147)
192.168.1.1.53 > 192.168.1.24.42322: 62333 q: AAAA? connectivity-check.ubuntu.com. 0/1/1 ns: ubuntu.com. SOA ns1.canonical.com. hostmaster.canonical.com. 2018053142 10800 3600 604800 3600 ar: . OPT UDPsize=512 (119)
18:01:56.945889 IP (tos 0x0, ttl 64, id 37261, offset 0, flags [DF], proto UDP (17), length 86)
192.168.1.24.50380 > 192.168.1.1.53: 11200+ [1au] A? connectivity-check.ubuntu.com. ar: . OPT UDPsize=512 (58)
18:01:56.958968 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 118)
192.168.1.1.53 > 192.168.1.24.50380: 11200 q: A? connectivity-check.ubuntu.com. 2/0/1 connectivity-check.ubuntu.com. A 35.222.85.5, connectivity-check.ubuntu.com. A 35.224.99.156 ar: . OPT UDPsize=512 (90)
オペレーティングシステム:Linux Mint 20。
答え1
現在5つのnameserver
項目があり、/etc/resolv.conf
そのうち2つは重複しています。通常、サポートされる最大項目数は3つです。これは漏洩の原因ではないかもしれませんが、DNS検証が未定義の方法で機能し、何が起こっているのかを理解するのが難しくなります。または、追加のエントリが無視される可能性があります。しかし、システムは最初の3つを使用しますか、それとも最後の3つを使用しますか?
また、127.0.0.53が最後の項目としてリストされていますsystemd-resolved.service
。これはsystemctl status systemd-resolved
そのエントリが実行されていることを確認し、その場合はresolvectl status
どのDNSサーバーを使用するように設定されているかを確認してください/etc/resolv.conf
。
DNS 漏洩は、Amazon が VPN を検出することとは関係がない可能性があります。 MariusMatutiaeが述べたように、彼らは接続試行が既知のSurfShark出口点であるIPアドレスからのものを単に検出して接続を拒否することができます。
/etc/resolvconf/interface-order
システムに存在するため、おそらくインストールさresolvconf
れている可能性が高いです。この場合、ls /run/resolvconf/interface
DHCPおよび/または他の設定方法で受信したDNS設定を含む1つ以上のファイルを表示する必要があります。 SurfSharkを有効にすると、他のファイルが表示されるとSurfShark VPNクライアントがNetworkManagerをバイパスする可能性があるため、resolvconf
VPNが有効になっている場合にのみSurfSharkの設定を使用するように設定を調整する必要があります。
という名前のファイルが1つしかない場合、NetworkManager
NetworkManager/run/resolvconf/interface/
はオペレーティングシステムレベルのDNS設定を完全に制御します。この場合、いくつかの診断ステップは次のとおりです。
nmcli c show
NetworkManagerに知られているすべてのネットワーク接続の名前を表示するには、実行します。 SurfShark VPNはここに含まれていますか?SurfSharkがリストされている場合は、リストされている名前を記録してからSurfShark VPNを有効にして実行します
nmcli c show "place the actual connection name of SurfShark VPN here" | grep -i dns
。 SurfShark VPN接続がNetworkManagerにDNSサーバー情報を提供した場合、このコマンドを使用するとその情報が一覧表示されます。
/etc/resolv.conf
どちらの方法もSurfSharkに関連するDNS設定を表示しない場合は、SurfShark VPNを有効/無効にしたときにコンテンツおよび/または出力が変更されていることを確認する必要があります。resolvectl status
VPNクライアントはこれらのいずれかまたは両方を直接操作できます。
どこでもVPNの有効化/無効化に関連する明確なDNS設定を変更することなく、SurfShark VPNクライアントはカーネルレベルのすべてのDNSトラフィックをSurfSharkサーバーにリダイレクトできます。実行方法によっては、ローカルで表示または表示されない場合があります。最も厳しい場合は、DNSトラフィックが実際にSurfSharkにリダイレクトされていることを確認するために外部トラフィックスニファが必要になることがあります。
さらに、最新のWebブラウザはDNS-over-HTTPSまたはDNS-over-TLSを使用できます。これらの技術は、オペレーティング・システム・レベル全体のホスト名解決インフラストラクチャーをバイパスし、DoH または DoT プロバイダーへの直接暗号化接続を確立します。これはDNSリークテストで検出された可能性があります。
(で設定が有効になっている場合は、DNS-over-TLSも使用できますsystemd-resolved
。)DNSOverTLS
/etc/systemd/resolved.conf