logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 19-03-2018 21:04:43

bore
Membre
Distrib. : Debian 9 (Stretch)
Noyau : GNU/Linux 4.9.0-3-amd64
Inscription : 05-07-2017

Configurer un killswitch pour OpenVPN

Bonsoir,
Je viens de me procurer un VPN et je l’ai configuré avec OpenVPN.
Je voudrais installer un killswitch afin d’éviter que ma véritable adresse IP soit dévoilée et de ne plus être protéger par OpenVPn en cas de d’arrêt involontaire du VPN.

J’ai essayé plusieurs scripts.
https://github.com/primaryobjects/vpndemon

https://github.com/plasticbrain/vpnkillswitch


Et aussi en suivant ce tuto :
- Afin de configurer Network Killswitch sur votre machine Linux, vous devrez configurer le pare-feu iptables sur votre ordinateur.
S'il vous plaît, ouvrez le terminal et exécutez ces commandes une par une:
# bloquer les connexions sortantes par défaut:

sudo iptables -P OUTPUT DROP


# Et ensuite autoriser le trafic vers les serveurs DNS et openvpn:

sudo iptables -A OUTPUT -p udp -m multiport --dport 53,1194 -j ACCEPT


sudo iptables -A OUTPUT -p tcp -m multiport --dport 53,443 -j ACCEPT


# Autoriser les connexions sortantes sur l'interface vpn:

sudo iptables -A OUTPUT -o tun+ -j ACCEPT


Ces règles désactiveront tout le trafic qui ne serait pas envoyé via l'interface OpenVPN tun.
(je me demande si ce n’est pas tun0 ou tun0+ et non pas tun+ à mettre?)

- Mais rien y fait, aucun de ces scripts ne fonctionnent.
Pour le dernier, il me semble qu’il faut activer un firewall, mais je n’en ai pas, sauf si iptables fait fonction de firewall. Dans ce cas, comment l’activer ? Ou le plus simple est il que j’en installe un ? Comme uwf ? (si cela est une condition pour avoir un killswitch)

Pour info :

sudo iptables -L -v
Chain INPUT (policy ACCEPT 3515 packets, 632K bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy ACCEPT 3539 packets, 354K bytes)
 pkts bytes target     prot opt in     out     source               destination  



Cela fait deux jours que je cherche partout et que j’essaie, mais là, je pense que j’ai besoin de l’aide du forum.

Merci.

Hors ligne

#2 19-03-2018 21:33:26

bore
Membre
Distrib. : Debian 9 (Stretch)
Noyau : GNU/Linux 4.9.0-3-amd64
Inscription : 05-07-2017

Re : Configurer un killswitch pour OpenVPN

J’ai oublié, lorsque je fait le dernier tuto, j’ai cela :

sudo iptables -L -v
Chain INPUT (policy ACCEPT 531 packets, 201K bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy DROP 194 packets, 11866 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   81  5159 ACCEPT     udp  --  any    any     anywhere             anywhere             multiport dports domain,openvpn
  554 57682 ACCEPT     tcp  --  any    any     anywhere             anywhere             multiport dports domain,https
    8   712 ACCEPT     all  --  any    tun+    anywhere             anywhere            



Quand je me déconnecte de mon VPN, mon avigateur Firefox fonctionne toujours et avec ma véritable adresse IP ; mais mon navigateur Tor ne veut plus marcher ? Je suis obligé de redémarrer ma machine.

Dernière modification par bore (19-03-2018 21:34:37)

Hors ligne

#3 19-03-2018 22:21:27

raleur
Membre
Inscription : 03-10-2014

Re : Configurer un killswitch pour OpenVPN

Deux erreurs dans ces règles iptables.

1) Le trafic DNS hors VPN est autorisé. Je suppose que c'est pour résoudre l'adresse IP du serveur de VPN. Mais voilà : en l'interceptant, on peut donc savoir à quels serveurs tu te connectes via le VPN.

2) Le trafic HTTPS hors VPN est autorisé. Je suppose que c'est pour permette la connexion en TCP à un serveur VPN qui écoute sur le port 443 (technique permettant d'établir un VPN à travers les pare-feu qui autorisent le HTTPS). Mais cela ne bloque pas le trafic web HTTPS hors VPN.

Il vaut mieux montrer que raconter.

Hors ligne

#4 20-03-2018 13:48:37

bore
Membre
Distrib. : Debian 9 (Stretch)
Noyau : GNU/Linux 4.9.0-3-amd64
Inscription : 05-07-2017

Re : Configurer un killswitch pour OpenVPN

raleur a écrit :

Deux erreurs dans ces règles iptables.

1) Le trafic DNS hors VPN est autorisé. Je suppose que c'est pour résoudre l'adresse IP du serveur de VPN. Mais voilà : en l'interceptant, on peut donc savoir à quels serveurs tu te connectes via le VPN.

2) Le trafic HTTPS hors VPN est autorisé. Je suppose que c'est pour permette la connexion en TCP à un serveur VPN qui écoute sur le port 443 (technique permettant d'établir un VPN à travers les pare-feu qui autorisent le HTTPS). Mais cela ne bloque pas le trafic web HTTPS hors VPN.



D’accord. Vaut mieux que je n’insiste pas sur cette méthode.


Et que penses tu de :
https://github.com/plasticbrain/vpnkillswitch

J’édite le fichier avec le device de ma connexion Internet (j’ai même essayé avec tun0), mais j’ai cette réponse :

~/vpnkillswitch$ sudo ./vpnkillswitch.sh
Erreur : paramètre « status » non reconnu. Essayez plutôt --help.
You do not appear to be connected to a VPN. Connect to a VPN first, and then run VPN Killswitch


Pourtant je suis bien connecté avec le VPN, je vérifie bien que mon adresse IP est celui du VPN.

Dernière modification par bore (20-03-2018 13:52:17)

Hors ligne

#5 20-03-2018 14:10:50

raleur
Membre
Inscription : 03-10-2014

Re : Configurer un killswitch pour OpenVPN

Ce script repose sur le prérequis que le VPN est lancé par NetworkManager. Est-ce le cas ?

Dernière modification par raleur (20-03-2018 14:11:18)


Il vaut mieux montrer que raconter.

Hors ligne

#6 21-03-2018 16:34:58

bore
Membre
Distrib. : Debian 9 (Stretch)
Noyau : GNU/Linux 4.9.0-3-amd64
Inscription : 05-07-2017

Re : Configurer un killswitch pour OpenVPN

Je ne lance pas mon VPN par le graphique NetworkManager, mais par le terminal en lançant le fichier du serveur VPN que je choisi.
Le problème viendrait donc de là ?
Si c’est le cas, y aurait il quelque chose à changer dans le script ?
Merci.

Hors ligne

Pied de page des forums