VPN - тонкости настройки

Побеседовал тут с одним товарищем параноидальным и заразился поэтому спрошу у тех кто знает - итак - есть компьютер получающий интернет от роутера. и на нем установлен впн. т.е. есть два сетевых соединения - локальной сети и впна. для того чтоб все было кошерно в свойствах этих соединений нужно прописать правильные ДНСы чтоб оно запросы направляло по туннелю а не через днсы провайдера, верно? или днсы надо прописывать только в настройках локального соединения а впн уже никак на провайдерские днс не законнектится? второй вопрос днсы я так понимаю находятся в свойствах тсп-ип. или еще где-то? еще мне тут сказали что днсы для правильной обработки их туннельным соединением надо прописывать в каком-то внутреннем серверном формате типа 10.8.. я прописывал просто удаленные в стандартном айпи формате.

стуки этому чуваку поможет, лично вчера спрашивал практически по этому вопросу.

тоже интересно, может тут кто напишет решение?

продолжаю рыть эту тему - нашел интересное решение ограничить весь трафик впном. у меня не получилось. а у вас? кто как добивается ограничения трафика вне впн-тоннеля.

Привет. Правильно настроенный впн-сервер сам выдаёт свой айпишник днс-а при подключении и ставит его первым в списке. Если не выдаёт - то советую настроить =) Тогда весь твой днс-траффик по дефолту будет завёрнут в туннель, независимо от интерфейса.

спасибо за совет - как раз этим и занят. вопрос как обычно в ньюансах как именно настроить. а что по поводу днсов в локальном соединении? их надо настраивать? и как понять выдает ли конкретный впн этот днс о котором ты писал? в клиентском конфиге вроде как команда назначения днс указана.

вот еще нашел ветку про настрои самих конфигов впна - информативно. но вопросы о днсах и ограничении трафика помимо впн все ще открыты

Uncle Joe писал:

нашел интересное решение ограничить весь трафик впном. у меня не получилось. а у вас?

Задумка интересная, но нерабочая.. ну или я где-то натупил

Цитата:

Команда, кстати, выглядит просто: route add xx.xx.xx.xx 192.168.1.1 (адрес шлюза)

это нужно писать в моем конфигфайле client.ovpn ?

paranoik.death писал:

это нужно писать в моем конфигфайле client.ovpn ?

нет, это в консоли нужно прописать...

cmd
route add (внешний айпишник OpenVPN сервера) 192.168.1.1 (шлюз)

этот маршрут виден при подключенном впне - команда route print

смысл этих рекомендаций на хабре сводится к тому, что нужно сделать неспособный подключаться к инету комп и потом уже разрешить инет через опенвпн онли... что имхо не совсем удобно... так что думаю лучше поступить как товарисч там один советует и поглядеть в эту сторону:
http://forum.oszone.net/post-1981280.html

Doctor: сенкс так заработало, только опенвипиэновский адаптер тап9 начал себя как-то стрёмно вести. Попробую еще WIPFW

А роутер типа Dlink ? Скорость будет не фонтан ... На компе или ставить локальный бинд или указывать 8.8.8.8 как днс но только не роутер. На роутере NAT должен или отсутствовать или запускаться строго после старта openvpn.

спасибо за замечательный пост. если бы тут все знали что такое бинд нат и прочие тонкости - врядли бы задавали вопросы по настройке скороксть впн тоже важный компонент но тут обсуждается в первую очередь безопасность подключения.