我不太了解网络,所以这个问题可能有一些基本的误解。
我正在使用 OpenVPN 2.4.6(服务器)和 OpenVPN GUI 11.10.0.0(客户端)。
我的服务器配置如下:
push "redirect-gateway def1"
根据OpenVPN 手册页中,重定向网关选项“自动执行路由命令,使所有传出的 IP 流量通过 VPN 重定向。”
我担心会发生以下情况。
- 我的 DHCP 客户端发出了 DHCP 发现消息。此消息不通过 VPN。
- 我的 ISP 的 DHCP 服务器响应并提供了一个 IP 地址。
- 我的 DHCP 客户端请求提供的 IP 地址并收到确认。同样,此请求不通过 VPN。
- 我连接到 VPN。
- 我的非 VPN IP 地址的租约已到期。
- 我的 DHCP 客户端请求续订租约。此请求通过 VPN 进行。
- 根据我的 DHCP 客户端在步骤 1、3 和 6 中提供的信息,我的 ISP 现在可以将我的非 VPN IP 地址与我的 VPN IP 地址关联起来。
例如,dhcpcd 据说会在其请求中包含网络适配器的 MAC 地址。(请参阅http://klamp.works/2016/04/29/dhcp.html。
这是一个合理的担忧吗?如果是,我该如何解决?
我可能是错的,但在我看来,一个解决方案是使用以下命令配置我的 VPN 服务器:
push "redirect-gateway def1 bypass-dhcp"
根据OpenVPN 手册页,bypass-dhcp 标志“[a]dd[s] 到 DHCP 服务器的直接路由(如果它是非本地的)绕过隧道(在 Windows 客户端上可用,在非 Windows 客户端上可能不可用)。”
我使用重定向网关选项,因为如果我不这样做,当我连接到我的VPN并浏览到dns泄漏测试,它显示的是我的非 VPN IP 地址,而不是我的 VPN IP 地址。
谢谢您,如果我可以提供更多信息,请告诉我。
答案1
我们的这种担心是没有根据的,因为 DHCP 只应用于特定接口 - 而 VPN 接口不处理 DHCP 请求(我在这里简化了 - 它可能能够处理 DHCP 请求,但只能在 TAP 模式下通过隧道处理 - 但这些请求会以未加密的形式发送给您的 ISP,同样它也不会处理来自您的 ISP 的请求。)
如果您使用 ISP 名称服务器(可以使用 DHCP 分配)并且它们与您的 WAN 接口位于同一子网,则可能会发生泄漏。