Wydaje się, że „Wyślij cały ruch przez połączenie VPN” w OS X nie działa

8

Albo moje oczekiwania są błędne.

Oczekuję, że zaznaczenie opcji „Wyślij cały ruch przez połączenie VPN” spowoduje nie tylko ruch http i https w przeglądarce przez moje połączenie VPN, ale także helpd, terminal, misc. aplikacji i cóż, CAŁY ruch. To nie jest prawda. Obserwując aktywność sieci, wydaje się, że ruch przechodzi zarówno przez VPN, jak i domyślne połączenie.

Czy w systemie jest błąd, który mogę naprawić? Czy moje oczekiwania są błędne?

macos vpn Michael Prescott
źródło
Wydaje mi się, że w systemie OS X jest błąd. Konfiguruję inną sieć VPN pod innym adresem IP, a następnie skonfigurowałem system, aby się z nim połączyć. Poprzednie połączenie zostało usunięte. Pomimo tego, co pokazuje system, widzę teraz ruch kierowany na adresy, które nie są adresem usługi VPN, PLUS, ruch jest kierowany na poprzedni (usunięty) adres VPN! Moim celem korzystania z VPN jest bezpieczeństwo podczas podróży. Wygląda na to, że nie możemy ufać usłudze VPN OS X.
Michael Prescott,
Wydaje się rozsądnym założyć, że większość osób ufających ustawieniom VPN OS X nie jest świadoma wycieku. Niewiele VPN, jeśli „wyciek”. Być może jest to powiązane, ale biorąc pod uwagę natężenie ruchu, myślę, że to coś więcej niż „wyciek DNS”. dnsleaktest.com/what-is-a-dns-leak.html
Michael Prescott

Odpowiedzi:

10

Wątek Prosta poprawka problemu „Wyślij cały ruch przez VPN” mówi:

Konfigurując VPN na moim serwerze OS X Server w biurze, miałem problemy z uzyskaniem opcji klienta OS X „Wyślij cały ruch przez VPN”, aby faktycznie wykonać to, co mówi. W rzeczywistości ustawienie wydawało się niczego nie zmieniać na moim komputerze klienckim. Po wielu wyszukiwaniach i przeszukiwaniu forów dyskusyjnych Apple nie mogłem znaleźć niczego konkretnego dla mojego problemu, dlatego chciałem ujawnić rozwiązanie, które sprawi przyjemność innym.

Po prostu przejdź do Preferencji sieci , otwórz konfiguracje portów sieciowych i przeciągnij wpis VPN na górę listy.

Wydaje się, że wymusza to cały ruch TCP / IP przez VPN bez względu na ustawienie „Wyślij cały ruch przez VPN”, ale tylko wtedy, gdy masz połączenie z VPN. Nie sądzę, że jest to idealne rozwiązanie, ale przynajmniej pozwala mi tunelować cały mój ruch podczas podróży.

harrymc
źródło
2

Nie testowałem specjalnie, ale jeśli spojrzysz na przepustowość sieci, zobaczysz, czego się spodziewałbym.

Załóżmy na przykład, że przesyłasz 100 MB z jakiegoś losowego serwera internetowego. Pakiety serwera są przesyłane całkowicie przez połączenie VPN, więc zobaczysz 100 MB ruchu przechodzącego przez interfejs VPN. Ale samo połączenie VPN jest kierowane przez domyślny interfejs, więc zobaczysz, że może ponad 110 MB (100 MB + narzut) przechodzi przez domyślny interfejs.

Gordon Davisson
źródło
Widzę ruch z systemu na adres IP VPN i adres IP końcowego miejsca docelowego. Spodziewam się, że ruch będzie tam iz powrotem tylko między adresem IP VPN. Czy to źle?
Michael Prescott
Jak patrzysz na ruch uliczny?
Gordon Davisson
Little Snitch i Charles Proxy, a także mogę weryfikować logi routera.
Michael Prescott
Spróbuj użyć tcpdumplub wiresharkzamiast tego. Używam OS X VPN od dłuższego czasu i jestem pewien, że to, co myślisz, że widzisz, nie jest tym, co widzisz.
bahamat
0

Routing nie powinien zależeć od usługi. Tabela routingu służy do ustalenia, jaką ścieżkę wybrać, aby dotrzeć do określonego hosta / sieci. Nie można kierować określonych usług (przy użyciu jednego zestawu portów i protokołów), aby korzystać z jednej trasy, podczas gdy inne usługi - z innej trasy. Nawet jeśli czegoś nie wiem, to nie będzie tak powszechne.

Możliwe jest jednak zastosowanie tunelu dzielonego . Zależy to w dużej mierze od konfiguracji routera i używanego oprogramowania VPN (czy umożliwia to zastępowanie). W większości przypadków administratorzy sieci nie lubią dzielonego tunelowania i (jak chcesz) kierują cały ruch przez VPN, zabraniając jakichkolwiek przesłonięć (chyba że użyty zostanie inny klient VPN :-)). Chociaż jest to bezpieczniejsze, praca jest uciążliwa i powiedzmy jednocześnie strumieniowanie muzyki.

Możesz użyć polecenia traceroute, aby zobaczyć, jaki ruch na ścieżce prowadzi do określonego miejsca docelowego.

Możesz spróbować zmienić domyślną bramę i skierować cały ruch do VPN po ustanowieniu połączenia. Będzie to jednak zależeć od tego, czy istnieje droga do Internetu w innej witrynie dla połączeń VPN, ponieważ może ona znać tylko sieć lokalną.

mlt
źródło