Comments 13
Извините, а почему бы не воспользоваться более популярным protonvpn(если он не заблокирован, к сожалению не обладаю информацией)? И просто мысли: ovpn и pfSense это довольно требовательная связка, в отличие от l2tp\ipsec + любой домашний роутер. Утечку DNS можно удобно исключить в табличке маршрутизации.
Добрый день
Очень интересно было бы увидеть похожую статью о подключении pFsense к публичному VPN сервису и настройке туннеля через Wireguard - можно ожидать?
Но мне кажется, что схема немного переусложнена )
Переходим на страницу System / General Setup и СНИМАЕМ галку с DNS Server Override.
Тем самым мы «лишаемся» (что хорошо) в корне возможности использовать провайдерские dns.
Там же прописываем DNS (напр., 1.1.1.1) и ЯВНО указываем gateway к этому DNS — наш ovpn_gw. Правильнее указать неск-ко ip-адресов dns по аналогии. Тогда клиенты в локалке за пф получив по dhcp в кач-ве 1-го днс ip пфсенса будут пользовать те днс (форвардингом), что указаны в настройках пфсенса на странице System / General Setup и ТОЛЬКО через впн-туннель.
Также непонятно, зачем блокировать doh пфблокером клиентам? У нас же ВЕСЬ трафик уходит в впн-туннель — так пусть пользуют doh через впн на здоровье.
Далее, правило fw на скрине с reject-ом всего dnssec (853\TCP). ВЕСЬ трафик и так уходит в туннель (и dnnsec тоже, ес-но) согласно последнему правилу на этом же скрине и смысл в его блокировке стремится к нулю.
После правки правил fw рекомендую сделать Reset states ради чистоты эксперимента.
Касаемо конфига впн от киберхоста. Эти строки:
cipher AES-256-CBC
ncp-disable
Оч. плохо, что этот хостер НЕ ПОДДЕРЖИВАЕТ алгоритмы шифрования с аппаратным ускорением AES (
Даже странно как-то — это же и им лишняя нагрузка на железо.
В таком случае вы более 10-20 Мбит\с через этот впн не «прокачаете».
Но получите приличную нагрузку на cpu железки, где установлен пфсенс. Причем даже, если ваш cpu умеет ускорять aes.
Если вы хотите использовать публичный DNS вместо сервера VPN провайдера — то да, ваша конфигурация вполне подойдёт.
А причем здесь блокировка DoH и dnssec (dnssec - это не DoT) ?
Наоборот, использование DoH, dnssec etc на клиентской стороне НЕ позволяет перехватывать днс-трафик и впн-провайдеру тоже. Зачем киберхосту знать, куда я хожу через их впн?
Еще раз повторюсь, что этот киберхост - школоло-поделка. Мне хватило того, что они в конфиге впн касаемо AES нарисовали. Сами себе в ногу стреляют не используя аппаратное ускорение.
Как было не раз сказано, CyberGhost выбран лишь в качестве примера
Вы можете использовать описанную конфигурацию с любом другим VPN провайдером
Про выбор алгоритмов шифрования для vpn
Интересно было бы почитать про настройку wireguard или openvpn, чтобы через туннель клиенты ходили только на определенные сайты из алиаса. Я пробовал настраивать такой конфиг, вроде все работало, но потом увидел, что pfsense сам ходит в инет только через vpn туннель, получается, что увеличивается задержка от серверов dns. В общем работал некорректно, как мне показалось. Хотелось бы почитать, как это грамотно организовать.
— Добавлена информация о включении опции Strict Outgoing Network Interface Binding, появившейся в pfSense 2.6.0
Анонимный VPN роутер на pfSense