LINUX.ORG.RU
ФорумAdmin

VPN. Your connection is not private.

 


1

2

Полный нуб в вопросах сетей решил сделать свой VPN на базе стандартных решений (droplet), предлагаемых DigitalOcean.

Действовал в основном по вот этой инструкции https://khashtamov.com/ru/hosted-open-vpn-server/

Решил, что поднимать свою убунту на удаленном сервере мне не нужно, достаточно воспользоваться имеющимися дефолтными решениями.

Зарегился, включил vpn-сервер. Подключился к нему через OpenVPN, проверка ip показывает, что я в Бостоне.

При попытке зайти на банальный linkedin.com бразер выдает ошибку «Your connection is not private»:

Your connection is not private
Attackers might be trying to steal your information from www.linkedin.com (for example, passwords, messages, or credit cards). Learn more
NET::ERR_CERT_AUTHORITY_INVALID
ReloadHide advanced
www.linkedin.com normally uses encryption to protect your information. When Vivaldi tried to connect to www.linkedin.com this time, the website sent back unusual and incorrect credentials. This may happen when an attacker is trying to pretend to be www.linkedin.com, or a Wi-Fi sign-in screen has interrupted the connection. Your information is still secure because Vivaldi stopped the connection before any data was exchanged.

You cannot visit www.linkedin.com right now because the website uses HSTS. Network errors and attacks are usually temporary, so this page will probably work later.

Vivaldi не дает ничего сделать, а при игноре ошибки в firefox, он выкидывает на страницу блокировки от МГТС.

Пока писал этот пост, пару раз перпроверил. Один раз получилось зайти, второй раз снова ошибка. Второй раз firefox отказался пускать вовсе и выдал вот такое:

Did Not Connect: Potential Security Issue

Firefox detected a potential security threat and did not continue to www.linkedin.com because this website requires a secure connection.

www.linkedin.com has a security policy called HTTP Strict Transport Security (HSTS), which means that Firefox can only connect to it securely. You can’t add an exception to visit this site.
https://www.linkedin.com/

The certificate is not trusted because it is self-signed.
HTTP Strict Transport Security: true
HTTP Public Key Pinning: false

Сейчас сайт опять открывается.

Что надо настроить на vpn-сервере, чтобы такого не было? И вообще, подскажите, что почитать на тему для обычного пользователя, который не собирается становиться админом, но хочет иметь свой vpn.

★★★★★

dns в конфиге openvpn пропиши.

anonymous
()

Похоже провайдер блочит, поменяй DNS на какой-нить, который будет за VPN. Иначе они могут перехватить все DNS запросы к любым DNS-серверам.

slapin ★★★★★
()
Ответ на: комментарий от slapin

И никогда не включай ексепшн для важных сервисов, твои пароли твой провайдер соберет и передаст кому надо (нет, не товарищам в погонах, хотя им тоже могут если вдруг надо).

slapin ★★★★★
()

Ничего не понял из ответов, кроме того, что скорее всего вопрос в DNS. Буду разбираться, спасибо.

another ★★★★★
() автор топика
Ответ на: комментарий от slapin

А где надо менять DNS? Вот зашел в настройки DNS подключения к VPN на локальной машине, поставил там 208.67.222.222. Ничего особо не поменялось. dnsleaktest.com кажет все сервера во Франкфурте, что на Майне, и ничего не работает. На сервере надо менять? Там вроде пробовал вручную вписывать, но тоже нет результата.

https://ibb.co/xLKpB5N

another ★★★★★
() автор топика
Последнее исправление: another (всего исправлений: 1)
Ответ на: комментарий от another

задача поменять тот, который будет в /etc/resolv.conf на клиенте, а каким образом он туда у тебя будет попадать - дело 10-е. Обычно это разруливается как-то настройками VPN, чтобы оно выставляло нужный адрес на время активности, но можно обойтись и скриптом вручную. Лучше если это делает тот же сервис, что у тебя обычно за сеть отвечает, иначе возможен конфликт и взаимная перезапись конфига.

slapin ★★★★★
()
Ответ на: комментарий от slapin

dnsleaktest.com что показывает? Сервера DNS, которые используются? Там нет серверов провайдера, только DigitalOcean.

Вручную в networkmanager выставлял свои адреса от OpenDNS или гугла - не помогает.

Удалил стандартный дроплет OpenVPN от DigitalOcean, поднял свой vpn и ca по вот этим трем инструкциям:

https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-20-04-ru

https://www.digitalocean.com/community/tutorials/how-to-set-up-and-configure-a-certificate-authority-ca-on-ubuntu-20-04-ru (до шага № 3)

https://www.digitalocean.com/community/tutorials/how-to-set-up-and-configure-an-openvpn-server-on-ubuntu-20-04-ru

В них содержится, втч, инструкция, как отправить клиенту информацию о необходимости перенаправлять весь трафик через сервер OpenVPN, втч в части DNS. Ни фига не помогло.

Есть еще варианты, кроме DNS? Ну или как проверить, что это точно в этом проблема?

another ★★★★★
() автор топика
Ответ на: комментарий от another

Есть еще варианты, кроме DNS? Ну или как проверить, что это точно в этом проблема?

Берешь wireshark или другой снифер и смотришь куда идет трафик.

anonymous
()

В общем пока итог. Перезагрузил клиентскую машину, все вроде заработало.

another ★★★★★
() автор топика
Ответ на: комментарий от slapin

man in the middle

Мне вот интересно, а кто этот самый мэн? Вот Алиса базарит с Бобом, а Ева ревнут и пытается слушать. Вот что за мэн? Боб что, гей? И на самом деле там Петро базарит с Бобом, а Андрей ревнует?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin