[jiang]

C'est une des choses dont se plaignent le plus les utilisateurs de VPN: certaines coupures inopinées qui, même en 1 s, peuvent révèler votr vraie IP.

J'ai trouvé ceci sur le forum du pirat partiet suédois. Ca concerne le vpn de relakks, mais a l'air d'être applicable à tout VPN. La solution consiste à utiliser un parefeu comme, non pas Open Office, mais Commodo v3, qui permet d'introduire des règles interdisant le passage du traffic d'une application donnée en cas de déconnexion du VPN:

Citation

Anyway, for all Relakks users who are scared of disconnects here’s a little Tutorial for Comodo v3 to force a specific application to exclusively use the Relakks VPN connection:


1. Go to http://personalfirew...d_firewall.html and download and install Comodo Personal Firewall version 3.
(You only need the firewall part, the new Anti-Virus and Proactive-Security stuff included in the package is not necessary.)

2. In the Firewall’s “Common Tasks” section open “My Network Zones”, add a new network zone, call it “Relakks” and define it as “a range of IP addresses” where you put in the address range of Relakks (93.182.128.0 - 93.182.191.255).
(My Network Zones => Add => A New Network Zone => Name: Relakks; Add => A New Address => A range of IP addresses: 93.182.128.0 - 93.182.191.255)

3. Then choose the specific application you want to force to exclusively use Relakks in the Firewall's “Network Security Policy’s” “Application Rules” tab, remove all old rules which are assigned to this application and add three new rules:

First right-click and add this rule:
Allow; IP; In; Source: Any; Destination: Zone: “Relakks”; Protocol: Any;
Second add this rule below the first one:
Allow; IP; Out; Source: Zone: “Relakks”; Destination: Any; Protocol: Any;
Third add this rule below the second one:
Block; IP; In/Out; Source: Any; Destination: Any; Protocol: Any;

Note: The order in which the rules are placed upon another is important!
So, there should now be three rules (and only these three) listed below your application:

Application name (for example “Firefox”)

Top: Allow IP In From IP Any To In [Relakks] Where Protocol Is Any
Middle: Allow IP Out From In [Relakks] To IP Any Where Protocol Is Any
Bottom: Block IP In/Out From IP Any To IP Any Where Protocol Is Any


Note: The "Allow IP In/Out ... Where Protocol Is Any" settings will allow your application to establish any kind of connection.
You can limit those rules to specific ports/protocols in case you want to tighten up you security additionally.
If you got connection problems, make sure you haven't configured any global rule that's blocking your connections.

Edited: 2009-Apr-18 21:15:51 by NoName111

http://forum.piratpa...91410-78-1.aspx

Citation

ed de kraftonz:
rajout d'un sous titre "car sinon la VRAIE adresse IP est révélée !"
merci !

Ce message a été modifié par kraftonZ - 15/02/2010 - 09:30.

[Feanorion]

Merci pour le tuyau

[mysteury]

Edit: j'ai rien dit, merci bien

Ce message a été modifié par mysteury - 18/05/2009 - 09:33.

[starcommander]

Quelqu'un a-t-il déjà essayé la même technique pour le VPN ItsHidden?

J'ai essayé avec les memes règles de sécurité, mais dès que j'enclenche le firewall, ça coupe toutes les communications pour l'app visée...

[jiang]

starcommander, le 22/09/2009 - 10:21, dit :

Quelqu'un a-t-il déjà essayé la même technique pour le VPN ItsHidden?

J'ai essayé avec les memes règles de sécurité, mais dès que j'enclenche le firewall, ça coupe toutes les communications pour l'app visée...

Pas testé avec itshidden.

Voici en tout cas un autre lien, plus clair, sur le procédé que j'évoquais:

http://forums.comodo...3-t15677.0.html

Et un lien qui indique une autre procédure que celle consistant à ajouter une règle dans le firewall:

(dans la faq, regarde à la rubrique "how to secure my vpn")

http://checkmytorrentip.com/

[Firephok]

jiang, le 17/05/2009 - 22:36, dit :

C'est une des choses dont se plaignent le plus les utilisateurs de VPN: certaines coupures inopinées qui, même en 1 s, peuvent révèler votr vraie IP.

J'ai trouvé ceci sur le forum du pirat partiet suédois. Ca concerne le vpn de relakks, mais a l'air d'être applicable à tout VPN. La solution consiste à utiliser un parefeu comme, non pas Open Office, mais Commodo v3, qui permet d'introduire des règles interdisant le passage du traffic d'une application donnée en cas de déconnexion du VPN:

A priori les vpn utilisant openvpn sont moins touché par cela. D'après ce que j'ai lu il faut qu'il y ai un problème avec le client openvpn pendant la perte de connection avec le vpn pour que l'ip réel soit révèlée.

[patos]

OpenVPN est juste plus laxiste sur son état de connexion.
La méthode la plus simple étant de désactiver les routes. Faut juste s'y connaitre un peu pour le faire, mais la fiabilité est redoutable.

[hilarion lefuneste]

Attention !
Marche parfaitement pour emule mais pas pour utorrent : les connexions reprennent quelques secondes après l'arrêt du VPN.
Pour utorrent le parefeu windows avec fonctions avancées fonctionne, il suffit de créer une règle interdisant à utorrent de se connecter à tout domaine sauf le domaine privé (=VPN), quand déconnexion du VPN seul le domaine publique (=FAI) est disponible et le parefeu empêche utorrent d'y accéder.
Toutefois le parefeu windows ne semble pas gérer les connexions IPV6 : en cas de déconnexion du VPN il bloquera toutes les connexions IPV4 mais pas les IPV6. La solution est alors de migrer vers une version d'utorrent qui ne gère pas l'IPV6 (1.7.7 ou inférieure)

[tomy13]

Une autre solution pour windows:
Se servir de IPSec
Ajouter en MMC le moniteur de sécurité IP
Faire dans l’éditeur de stratégie de groupe un filtre (des filtres) des ports et protocoles que l’on veut pour l’IP que l’on veut [/quote]

[kraftonZ]

clic, une semaine d'épinglage pour ce sujet !
bonne journée !

[jiang]

patos, le 29/12/2009 - 11:29, dit :

OpenVPN est juste plus laxiste sur son état de connexion.
La méthode la plus simple étant de désactiver les routes. Faut juste s'y connaitre un peu pour le faire, mais la fiabilité est redoutable.

Tu évoques sans doute la méthode qui est détaillée ici (voir la FAQ) ?
Si oui, il s'agit d'une façon de procéder assez radicale, mais que je trouve finalement plus simple à mettre en oeuvre que la solution consistant à introduire des règles dans le firewall.

Par contre j'aimerai savoir si ce que suggère Hilarion, à savoir que la méthode de désactivation des routes marche avec eMule mais pas avec µtorrent, est confirmé par d'autres utilisateurs. En particulier µtorrent 2.0 et son uTP.

Y a t il de utilisateurs de µTorrent (ou Vuze ? ou...) derrière VPN dans la salle ?

Et si ça marche pas, j'aimerais comprendre pourquoi: A priori, quand toute route est coupée aucun trafic ne devrait plus pouvoir passer ???

Firephok, le 12/12/2009 - 21:27, dit :

A priori les vpn utilisant openvpn sont moins touché par cela. D'après ce que j'ai lu il faut qu'il y ai un problème avec le client openvpn pendant la perte de connection avec le vpn pour que l'ip réel soit révèlée.

Je pense que c'est parce que certains openvpn sont configurés de façon à faire d'eux-meme un "route delete", et qu'aucun PPTP par contre ne fait ça tout seul.

Si en faisant un netstat -R après avoir lancé le VPN, on voit une destination 0.0.0.0 qui utilise une passerelle 192.168.x.y, il y a de fortes chances pour que la vraie IP fuite en cas de déconnexion du VPN.

tomy13, le 15/02/2010 - 09:23, dit :

Une autre solution pour windows:
Se servir de IPSec
Ajouter en MMC le moniteur de sécurité IP
Faire dans l’éditeur de stratégie de groupe un filtre (des filtres) des ports et protocoles que l’on veut pour l’IP que l’on veut

Tu peux la refaire lentement, avec des des images à colorier et des mots simples, accessibles par le vulgaire qui n'est pas administrateur réseau ??

Ce message a été modifié par jiang - 04/03/2010 - 22:32.

[drafzzz]

pour faire simple :

couper la route reseau

[tomy13]

jiang, le 04/03/2010 - 22:14, dit :

Tu peux la refaire lentement, avec des des images à colorier et des mots simples, accessibles par le vulgaire qui n'est pas administrateur réseau ??

Skiouze me ipsec de façon un peu sec en effet.
-Premier point indispensable, être dans un domaine.
-Ajouter une console Moniteur de sécurité IP
- Démarrez\Exécutez mmc.exe
-Dans la console ctrl+M
-Choisir Moniteur de sécurité IP sur la nouvelle fenêtre.


Enregistrer la console
Après Exécuter secpol.msc
Clic droit sur Stratégies de sécurité d’IP sur ordinateur local puis créer une stratégie de sécurité IP et un assistant vous assiste.
Puis en propriété de cette stratégie (clic droit) faire ajouter (de nouveau un assistant vous assiste) un choix de filtre vous est proposé s’ils ne vous plaisent pas de pas m’engueuler mais en créer d’autres a l’aide d’ajouter et ajouter.
Dans les propriétés des filtres mettre l’adresse le protocole de votre choix et les ports qui vont bien.

[khalis]

Les mecs, j'ai trouvé ceci :

http://free.korben.i...r_VPN_Lifeguard

Je vais tester voir ce celà donne.

[jiang]

khalis, le 16/03/2010 - 21:05, dit :

Les mecs, j'ai trouvé ceci :

http://free.korben.i...r_VPN_Lifeguard

Je vais tester voir ce celà donne.

Merci pour l'info. Mais je reste sceptique sur ce genre de soft, qui me rappelle Vpnetmon. Pas un mauvais soft en soi, mais qui ne faisait pas complètement le job qu'on attendais de lui (faire en sorte qu'aucune donnée ne passe en dehors du vpn, même 1s, en particulier en cas de déconnexion de celui-ci).

Il y a en effet une différence entre un système qui bloque/ferme tout dès que quelque chose passe en dehors du vpn, et u système qui oblige à ce que tout passe par le vpn, et qui empêche toute fuite parce qu'aucune fuite éventuelle ne peut trouver de chemin pour passer

Vpnetmon est du genre "solution 1", la technique avec les règles de firewall, et celle consistant à supprimer les routes, sont du genre "solution 2".

La question est de savoir à quel genre de solution appartient VPN_Lifeguard.

Et même s'il est du genre "solution 2", empêche-t-il vraiment toute fuite de données en dehors du VPN ? Ou seulement les données TCP ?

Tout ça est à voir de près. J'espère que les pro de wireshark nous donneront une réponse

Ce message a été modifié par jiang - 16/03/2010 - 21:25.

[khalis]

http://free.korben.i...r_VPN_Lifeguard

N'est pas compatible windows 7 64bits, donc c'est réglé

Pour le moment avec Vyprvpn, aucune deconnection et c'est de qualité, je verrais à la fin de la béta en Juin.