Это говорит лишь о том, что вы не весь трафик завернули в WARP. Или вообще не завернули. Проверьте логи x-ray на сервере, убедитесь, что все запросы идут в proxy. У YourVPNDead нет возможности узнать ваш входной сервер, если вы действительно всё завернули в WARP. У себя я проверил - входной ip YourVPNDead не видит при WARP.
Прочитал статью и все комменты. И вот такие сделал выводы для себя.
Найденная уязвимость - дырка в самом механизме маршрутизации приложений. Любое заинтересованное приложение сможет отправить запрос к вашему VPN серверу, даже если вы исключили это приложение из доступа к VPN.
Как показали дальнейшие исследования в комментах, найденная уязвимость НЕ СВОДИТСЯ к неавторизованному socks5, о чем была речь в исходной статье. Оказалось, можно спокойно сделать а ля “curl ifconfig.me --interface tun0”, при этом узнать название интерфейса tun0 - также не проблема.
Из п.2 следует, что ни пароль на socks5, ни случайный порт нам НИКАК НЕ ПОМОГУТ. И нет смысла ожидать патчей в эту сторону и тратить время на педалирование разработчиков.
Необходимо признать - найденная уязвимость приводит к неизбежной утечке внешнего ip адреса VPN-сервера. На этом участке мы проиграли. И не нужно тратить время, чтобы принимать неработающие полумеры. Это и есть главный вывод из статьи. Вот из этого и нужно исходить далее.
Единственный работающий выход, который и был уже предложен автором - прятать входной ip. Настраивать VPN-сервера только таким образом, чтобы входной и выходной ip не совпадали. Самый простой и пока доступный вариант - outbound на Cloudflare через WARP. Многие здесь так уже и сделали, судя по комментам. И на данный момент это единственное верное решение.
Это говорит лишь о том, что вы не весь трафик завернули в WARP. Или вообще не завернули. Проверьте логи x-ray на сервере, убедитесь, что все запросы идут в proxy. У YourVPNDead нет возможности узнать ваш входной сервер, если вы действительно всё завернули в WARP. У себя я проверил - входной ip YourVPNDead не видит при WARP.
Прочитал статью и все комменты. И вот такие сделал выводы для себя.
Найденная уязвимость - дырка в самом механизме маршрутизации приложений. Любое заинтересованное приложение сможет отправить запрос к вашему VPN серверу, даже если вы исключили это приложение из доступа к VPN.
Как показали дальнейшие исследования в комментах, найденная уязвимость НЕ СВОДИТСЯ к неавторизованному socks5, о чем была речь в исходной статье. Оказалось, можно спокойно сделать а ля “curl ifconfig.me --interface tun0”, при этом узнать название интерфейса tun0 - также не проблема.
Из п.2 следует, что ни пароль на socks5, ни случайный порт нам НИКАК НЕ ПОМОГУТ. И нет смысла ожидать патчей в эту сторону и тратить время на педалирование разработчиков.
Необходимо признать - найденная уязвимость приводит к неизбежной утечке внешнего ip адреса VPN-сервера. На этом участке мы проиграли. И не нужно тратить время, чтобы принимать неработающие полумеры. Это и есть главный вывод из статьи. Вот из этого и нужно исходить далее.
Единственный работающий выход, который и был уже предложен автором - прятать входной ip. Настраивать VPN-сервера только таким образом, чтобы входной и выходной ip не совпадали. Самый простой и пока доступный вариант - outbound на Cloudflare через WARP. Многие здесь так уже и сделали, судя по комментам. И на данный момент это единственное верное решение.