Pregunta Cómo proteger la conexión PPTP - Windows 7?


Hay una computadora que se conecta a una VPN. La red debe permanecer fuera de línea, si la máquina no puede volver a conectarse a la VPN. Nunca debería usar la conexión normal. Solo el VPN.

¿Hay alguna manera de configurar este comportamiento?
La máquina se usa localmente, por lo que no es necesario llegar a ella desde la red ni nada.

Sistema operativo del cliente: Windows 7 Professional x64 SP1


4


origen


¿Hay alguna posibilidad de que use esta máquina dentro de una máquina virtual? Si ese es el caso, me parece virtualmente infalible instalar una VPN en el sistema operativo anfitrión y conectar el adaptador de red creado por el software VPN con el sistema operativo invitado. Lo he intentado usando VPNGate y estuve muy satisfecho con los resultados. Esto también le permite encadenar múltiples VPN y también usar Tor (si le gusta ese tipo de cosas) - Vinayak


Respuestas:


Esto se puede lograr configurando un firewall para permitir solo conexiones a la IP del proveedor VPN y / o al puerto TCP 1723 y al puerto UDP 47.

Si usa varios proveedores de VPN, el bloqueo basado en puertos es más fácil. Si no, el bloqueo basado en IP es más seguro. En cualquier caso, puede usar ambos.

Por ejemplo, puede configurar Windows Firewall para hacer esto:

  1. Supongamos que estás usando superfreevpn.com (69.60.121.29)

  2. Conéctese a Internet y su VPN.

  3. prensa Ganar + R y ejecutar control /name Microsoft.NetworkandSharingCenter.

  4. En Ver tus conexiones activas, haz clic en el enlace Casa / Trabajo / Red Pública debajo de su conexión a Internet y elija Red pública.

  5. En Ver tus conexiones activas, haz clic en el enlace Casa / Trabajo / Red Pública debajo de su conexión VPN y elija Red de trabajo.

  6. prensa Ganar + R y ejecutar WF.msc.

  7. En Firewall de Windows con seguridad avanzada en computadora local, click Acción, entonces Propiedades, Ve a la Perfil Privado tab y establece lo siguiente:

    Firewall state:        On (recommended)
    Inbound connections:   Block all connections
    Outbound connnections: Allow (default)
    
  8. Basado en puerto

    • En Reglas de salida, click Acción, entonces Nueva regla... y seleccione lo siguiente:

      Port
      TCP
         Specific remote ports: 1-1722, 1724-65535
      Block the connection
      Public
      Public TCP
      
    • En Reglas de salida, click Acción, entonces Nueva regla... y seleccione lo siguiente:

      Port
      UDP 
          Specific remote ports: 1-46, 48-65535
      Block the connection
      Public
      UDP
      

    Basado en IP

    • En Reglas de salida, click Acción, entonces Nueva regla... y seleccione lo siguiente:

      Custom
      All programs
      Any
      Any IP address
      These IP adresses
          Add
              This IP address range -> From: 0.0.0.0      To: 69.60.121.28
          Add
              This IP address range -> From: 69.60.121.30 To: 255.255.255.255
      Block the connection
      Public
      Non-VPN
      
  9. Ya que hemos bloqueado todas las consultas DNS no VPN ahora, superfreevpn.com no se resolverá

    Modifique su conexión VPN reemplazando el nombre de host por su IP, o agregue la siguiente línea a %windir%\system32\drivers\etc\hosts:

    69.60.121.29    superfreevpn.com
    

Vagamente adaptado de Cómo configurar el firewall de manera que cuando VPN se desconecta, todas las paradas de exploración.


3



Dennis, deberías ser un supermod aquí. :) - Shiki
+1 Gracias, eso funcionó para mí, excepto que creo que la segunda dirección "desde" debería ser Desde: 69.60.121.30 (es decir, la dirección del servidor VPN + 1). - EM0
@E M: Buen punto. Fijo. - Dennis


Una pequeña adición a la excelente respuesta de Dennis: si su conexión a Internet está configurada para usar DHCP (como la mayoría) no podrás obtener una dirección IP a menos que excluya la dirección del servidor DHCP y la dirección de transmisión 255.255.255.255.

correr ipconfig /all (mientras DHCP todavía funciona) para encontrar la dirección de su servidor DHCP. Digamos que es 192.168.2.1 y el servidor VPN es 69.60.121.29, como en el ejemplo de Dennis. Luego, configuraría el bloqueo para los siguientes rangos de IP:

From 0.0.0.0      to 69.60.121.28
From 69.60.121.30 to 192.168.1.255
From 192.168.2.2  to 255.255.255.254

Como una solución temporal también puede desactivar la regla de firewall de salida que bloquea todo. Eso es útil si ya ha "perdido" su dirección IP y no conoce la dirección de su servidor DHCP.

(Crédito a Marcks Thomas Para el respuesta original. Solo lo estoy agregando a esta pregunta en caso de que otros usuarios se encuentren con el mismo problema).

Otra adición no relacionada: puede ser una buena idea deshabilitar descubrimiento de red y el uso compartido de archivos e impresoras para redes domésticas / laborales si sigue los pasos anteriores, dado que ha configurado toda la Internet como su red de "Trabajo". Puedes hacer esto bajo Centro de redes y recursos compartidos, Cambiar la configuración de uso compartido avanzado.


3





Respuesta alternativa: usar rutas

Puede eliminar la ruta predeterminada a través de su conexión de Internet real y agregar una ruta solo al servidor VPN. Esto es más simple que Firewall de Windows de alguna manera, pero hay una trampa: Windows volverá a agregar la ruta predeterminada cada vez que se conecte a una red. Puede solucionarlo utilizando el Programador de tareas para hacer sus cambios cada vez que se conecta.

Una buena ventaja es que también puedes conectarse automáticamente a la VPN cada vez que se conecta a una red, siempre que haya guardado el nombre de usuario y la contraseña.

Primero crea un archivo por lotes como este:

@ECHO OFF

REM IP address of the real gateway you use to connect to the Internet
SET REAL_GATEWAY_IP=192.168.2.1

REM (External) IP address of the VPN server
SET VPN_SERVER_IP=69.60.121.29

REM Delete default route via the real gateway
route delete 0.0.0.0 %REAL_GATEWAY_IP%

REM Add a route to the VPN server via the real gateway
route add %VPN_SERVER_IP% mask 255.255.255.255 %REAL_GATEWAY_IP% metric 1

REM To connect to the VPN (optional):
rasphone -d "My VPN connection name"

A continuación, agregue una tarea programada en el Programador de tareas para ejecutar el archivo por lotes con el desencadenador configurado de esta manera:

Task trigger configuration

También puede deseleccionar "Iniciar la tarea solo si la computadora está funcionando con corriente alterna" en la pestaña Condiciones y seleccionar "Ejecutar si el usuario está conectado o no" en la pestaña General.

Las rutas se deben actualizar cada vez que se conecte a una red y puede verificarlas ejecutando route print - no debería haber ninguna ruta a 0.0.0.0 a través de la puerta de enlace real.


1



¡Tricky pero agradable! - Shiki