>Изначально писалась по заказу одного активиста, у которого была проблема с периодическим отключением от VPN, в связи с чем, случайно мог "засветиться" его IP, или VPN мог переключить его на нежелательную страну.

Самый костыльный костыль для проблем с VPN. В книгу Гинесса.

Ну, какой попросили, такой и сделали. Тем более, тогда винда плохо умела в VPN, да и сейчас не лучше, так что до сих пор актуально, если у тебя нет локального линкусового сервера между виндой и сетью, либо VPN сразу на роутере не нахуеверчен, что несет другие сложности.

нихуя не актуально. нужно просто в файрволе запретить выход вне туннеля

файрволл есть в любой винде, ctrl+R "wf.msc"

Как его запустить я знаю, лучше расскажи, как это укуренно-непонятное чудовище настроить (отрезать все, если не поднят туннель, например). Тому ще встроенный в винду файервол гораздо инопланетнее IPTABLES (там синтаксис инопланетный слегка, но привыкаешь)

у меня сейчас винды под рукой нет, так же как и компа, а то бы наделал скриншотов. процесс довольно муторный, так как, помимо прочего, нужно менять тип подключения (VPN, а чтобы его поменять нужно прописать кое-что в конфиг клиента) ща попробую найти...


вот https://zorrovpn.com/articles/windows-firewall-vpn-only?lang=en

только я предпочитаю впн прайват, а паблик подключения наоборот запретить

ну а в луниксе все намного проще, я предпочитаю установить ufw и ввести

sudo ufw --force reset
sudo ufw default deny incoming
sudo ufw default deny outgoing
sudo ufw allow out on tun0
sudo ufw allow out 1194/udp
sudo ufw allow in to 192.168.0.0/24
sudo ufw allow out to 192.168.0.0/24
sudo ufw enable

Вот ufw не пробовал, надо будет, благодарю. Я-то по заветам дедов ебусь с иптаблесом, а на носу как раз студенты, которым чем проще, тем лучше, а тут синтаксис ничотак.

С Openvpn более-менее понятно, а вот как быть, если подключение стандартными виндовыми средствами (PPTP или там IPSec)? Бо есть случаи, когда openvpn не поставить, а VPN нужен.

Я потом сделаю инструкцию на все случаи жизни для этой стаи товарищей :)

это называется kill switch. гуглить соответственно

самое смешное, что этот костыль ещё и абсолютно бесполезен, и даже вреден, потому что даёт иллюзию контроля и безопасности.
если в реальности так отвалится VPN, то браузер, мессенджер и любой другой софт просто продолжит слать запросы с реального адреса, то что пользователь увидит мельканее софтины в трее никак не поможет ему.

В справке к софтине описано, как в режиме паники можно вырубать сетевую активность вообще. Т.е. нежелательный IP - выводим здоровую красную форточку, орем касперской свиньей, или пожарной сигнализацией, запускаем devcon и вырубаем сеть нахер.

это никак не поможет, если браузер в это время работает.
даже если юзер сможет за 1 секунду заметить сообщение проги (а она прямо мгновенно сообщит о смене IP? сомневаюсь), и ещё за 0.5 секунд отключить сеть, браузер за это время все равно отправит кучу запросов, чем и спалит адрес.

Справедливо в некотором смысле. Но лучше знать, чем не знать, о том, что у тебя что-то протекло.

лучше чтобы не протекало

Факт, но предупреждение лишним не будет.

"была проблема с периодическим отключением от VPN, в связи с чем, случайно мог "засветиться" его IP, или VPN мог переключить его на нежелательную страну"

Строго говоря, без принудительного обрезания исходящих пакетов, идущих мимо VPN, будет все равно подтекать.

Но идея, как говорится, хороша.

>Строго говоря, без принудительного обрезания исходящих пакетов, идущих мимо VPN, будет все равно подтекать.

Ага, я с этим справился окончательно и бесповоротно, когда поставил на пути всех виндовых машин линуксовый недосервак с нормальным файерволлом, openvpn и Police Routing. Так что с рабочей машины протекают только виртуалки, если их неправильно настроить.