DNSと呼び出し機能に関連するOpenVPNパケットとNetworkManager VPNの問題

tag-icon tag-icon linux dns networkmanager openvpn systemd-networkd
DNSと呼び出し機能に関連するOpenVPNパケットとNetworkManager VPNの問題

何が起こっているのかを把握するのに時間がかかりました。しかし、問題はまだ不明です。インストールされたNetworkManagerのOVPNパケットを要約します。そして、Clear openvpn新しいバージョン3をインストールしたので、openvpn、openvpn3があります。パケットはNetworkManager(.ovpn config)で使用されます。アップデート解決サービスもインストールされます。

構成は次のとおりです。

remote domain_name 443
resolv-retry infinite
nobind
persist-key
persist-tun
auth-nocache
verb 3
explicit-exit-notify 5
rcvbuf 262144
sndbuf 262144
remote-cert-tls server
cipher AES-256-CBC
comp-lzo no
proto udp
key-direction 1
script-security 2
setenv PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
up /etc/openvpn/scripts/update-systemd-resolved
up-restart
up /vpn/iptab_killswitch.sh
up-restart
down /etc/openvpn/scripts/update-systemd-resolved
down-pre
down /vpn/iptab_default.sh
down-pre

コマンドラインを使用してVPNを起動すると、iptables(Killswitch用)が正しく修正されますが、まだDNSリークの問題があります。

キルスイッチ:

#!/bin/bash
sudo iptables --flush
sudo iptables --delete-chain
sudo iptables -t nat --flush
sudo iptables -t nat --delete-chain
sudo iptables -P OUTPUT DROP
sudo iptables -A INPUT -j ACCEPT -i lo
sudo iptables -A OUTPUT -j ACCEPT -o lo
sudo iptables -A OUTPUT -j ACCEPT -d server/24 -o wlp2s0 -p udp -m udp --dport 443
sudo iptables -A INPUT -j ACCEPT -s server/24 -i wlp2s0 -p udp -m udp --sport 443
sudo iptables -A INPUT -j ACCEPT -i tun0
sudo iptables -A OUTPUT -j ACCEPT -o tun0

分析:

基本:

Link 2 (wlp2s0)
      Current Scopes: DNS        
DefaultRoute setting: yes        
       LLMNR setting: yes        
MulticastDNS setting: no         
  DNSOverTLS setting: no         
      DNSSEC setting: no         
    DNSSEC supported: no         
  Current DNS Server: 192.168.1.1
         DNS Servers: 192.168.1.1
          DNS Domain: ~.

"sudo openvpn --config /path_to_my_config.ovpn"を使用する場合:

Link 54 (tun0)
      Current Scopes: none
DefaultRoute setting: no  
       LLMNR setting: yes 
MulticastDNS setting: no  
  DNSOverTLS setting: no  
      DNSSEC setting: no  
    DNSSEC supported: no  

Link 2 (wlp2s0)
      Current Scopes: DNS        
DefaultRoute setting: yes        
       LLMNR setting: yes        
MulticastDNS setting: no         
  DNSOverTLS setting: no         
      DNSSEC setting: no         
    DNSSEC supported: no         
  Current DNS Server: 192.168.1.1
         DNS Servers: 192.168.1.1
          DNS Domain: ~.

NetworkManagerを使用して自分の設定に接続するとき:

Link 55 (tun0)
      Current Scopes: DNS        
DefaultRoute setting: yes        
       LLMNR setting: yes        
MulticastDNS setting: no         
  DNSOverTLS setting: no         
      DNSSEC setting: no         
    DNSSEC supported: no         
  Current DNS Server: 10.64.104.1
         DNS Servers: 10.64.104.1
          DNS Domain: ~.         

Link 2 (wlp2s0)
      Current Scopes: none
DefaultRoute setting: no  
       LLMNR setting: yes 
MulticastDNS setting: no  
  DNSOverTLS setting: no  
      DNSSEC setting: no  
    DNSSEC supported: no

したがって、NetworkManagerを使用するとDNSが変更され、.ovpn内の「up」コマンドは無視されます。インターネットからのすべての着信サービスにはVPN DNSが表示されます。明確な openvpn クライアントでは、設定のスクリプトを使用しますが、DNS は変更しません。

DNSリークをブロックしてKillswitch機能を使用するには、VPNをどのように設定する必要がありますか?

関連情報