Jedan od glavnih razloga korištenja VPN-a je sakriti svoju istinsku IP adresu. Kada koristite VPN, vaš internetski promet se šifrira i šalje na VPN poslužitelj kojim upravlja vaš VPN davatelj, prije nego što izađe na Internet.


To znači da vanjski promatrači mogu vidjeti samo IP adresu VPN poslužitelja, a ne vašu stvarnu IP adresu. Prema tome, jedini način da otkriju vašu pravu IP adresu jest uvjeriti svog pružatelja VPN-a da im ga preda (a dobri davatelji koriste stroge mjere kao što su korištenje zajedničkih IP-ova i ne drže zapisnike kako bi to učinili što težim)..

Nažalost, ponekad je moguće da web stranice otkriju vašu pravu IP adresu, čak i kada koriste VPN.

Ovaj članak ima za cilj odgovoriti: što je curenje IP-a, zašto IP curi iako sam spojen na VPN i kako riješiti problem?

Kako testirati na DNS curenje ili IP curenje

Da biste utvrdili imate li curenje IP-a:

1. Posjetite ipleak.net bez pokretanja VPN-a. Zabilježite sve IP adrese koje vidite (ili samo ostavite prozor otvoren), jer su to vaše stvarne IP adrese.

Evo kako izgleda naša uredska veza koja podržava IPv6 bez pokretanja VPN-a. Ako vaša veza nije sposobna za IPv6, vidjet ćete samo IPv4 adrese. Kao što vidimo, WebRTC ispravno izvještava o našoj stvarnoj IPv6 adresi. Da nismo imali IPv6 mogućnost, onda bi ona umjesto toga prijavila našu IPv4 adresu.

WebRTC također prijavljuje adresu privatne upotrebe (IANA privatnu ili posebnu adresu), ali to se ne tiče nas. Te adrese privatne upotrebe su interne adrese koje koriste samo vaša lokalna mreža..

Čak i ako WebRTC vrati stvarnu IP adresu privatne uporabe kada se VPN pokreće, to nije rizik od privatnosti jer se oni ne mogu koristiti za identifikaciju s Interneta.

2. Uključite VPN. Iako nije strogo potrebno, povezivanje s VPN poslužiteljem u drugoj zemlji znatno olakšava otkrivanje propuštanja IP-a.

3. U pregledniku otvorite privatni / anonimni prozor, ponovno posjetite ipleak.net i usporedite rezultate s onima koje ste dobili bez pokretanja VPN-a.

  • Ako je redovna IPv4 adresa vaša stvarna IPv4 adresa, tada VPN ili nije uključen ili jednostavno ne radi.
  • Možete zanemariti IP-ove privatne upotrebe koje je WebRTC otkrio. Kao što smo već raspravljali, ti ne predstavljaju prijetnju vašoj internetskoj privatnosti i stoga se ne računaju kao IP propuštanje (u praktičnom smislu).
  • Ako se bilo koja druga adresa na web stranici ipleak.net podudara s vašom stvarnom adresom, tada VPN djeluje, ali IP adresu na neki način propušta.

Dobro

Povezivanje s američkim VPN serverom iz Velike Britanije, u nastavku je rezultat koji želimo vidjeti.

  • IPv4 adresa promijenjena je na mjesto VPN poslužitelja. Dakle, VPN radi.
  • IPv6 je onemogućen ili blokiran kako bi se spriječilo redovito curenje IPv6.
  • WebRTC ne otkriva našu stvarnu IPv4 ili IPv6 adresu. Mi možemo zanemariti adresu privatne upotrebe jer ne prijeti našoj privatnosti.
  • Upotrijebljeni DNS poslužitelji ne pripadaju našem davatelju internetskih usluga i rješavaju se u ispravnoj zemlji.

Ako je DNS riješen blizu mjesta na kojem se nalazi VPN poslužitelj, to snažno sugerira da VPN usluga tamo pokreće svoje DNS poslužitelje..

Ako vidite više DNS adresa koji se nalaze samo u široj zemlji ili zemljopisnom području, DNS prijevod vjerojatno vrši DNS-ov razlučivač treće strane poput Google DNS-a.

To nije problem ako pretpostavimo da se DNS zahtjevi šalju putem VPN veze i stoga ih proxy VPN poslužitelj (prilično sigurna pretpostavka, iako nikad ne znate).

Nažalost, krajnji korisnik obično ne može znati da li se VPN uslugom putem VPN usluge prosljeđuje DNS zahtjeve koje rješava razrješitelj treće strane ili ih šalje izravno na razrješitelj. Dakle, samo morate vjerovati svom davatelju usluga na ovom (ili se prebaciti na davatelja koji definitivno ima vlastite DNS poslužitelje).

Vrijedi napomenuti da Google DNS rješava sve europske DNS zahtjeve pomoću poslužitelja smještenih u Nizozemskoj i Belgiji. Dakle, ako ste povezani s VPN serverom u Velikoj Britaniji, Francuskoj ili Rumunjskoj, ali DNS poslužitelj se nalazi u Belgiji, to je razlog zašto. I nije problem (sve dok pretpostavimo da se DNS zahtjevi proxy i ne šalju izravno Googleu).

Loše

Ovo je primjer onoga što ne želite vidjeti prilikom povezivanja na VPN poslužitelj u Njemačkoj iz Velike Britanije.

  • IPv4 adresa promijenjena je u njemačku, pa VPN radi na osnovnoj razini.
  • Ipak, još uvijek možemo vidjeti našu pravu redovitu IPv6 adresu. To znači da imamo redovito curenje IPv6 (ili samo "curenje IPv6").
  • WebRTC također izvještava o našoj stvarnoj IPv6 adresi. Dakle, imamo curenje WebRTC IPv6.
  • DNS adrese nisu u Njemačkoj, ali ne pripadaju ni našem stvarnom davatelju internetskih usluga. Dakle, oni ne stvaraju DNS curenje.

U nastavku objašnjavamo koje su različite vrste curenja IP-a i kako ih riješiti. U svim je slučajevima često nepisano, ali preporučeno rješenje promijeniti VPN uslugu na onu koja ne curi..

Redovita curenja IPv6

Razumijevanje IPv4

Svaka internetska veza ima jedinstvenu brojčanu adresu koja se zove Internet Protocol (IP) adresa. IP adrese (ili samo „IP adrese“) dodjeljuje internetski pružatelj usluga (ISP) koji povezuje uređaj.

Donedavno je čitav Internet koristio standard Internet Protocol verzije 4 (IPv4) za definiranje IP adresa. To podržava maksimalnu 32-bitnu internetsku adresu, što znači 2 ^ 32 IP adrese (oko 4,29 milijardi) dostupnih za dodjelu.

Nažalost, zahvaljujući neviđenom porastu korištenja interneta u posljednjih nekoliko godina, IPv4 adrese ponestaju. Zapravo, tehnički govoreći, oni su to već učinili, premda zaobilazni okviri znače da je IPv4 još uvijek vrlo daleko od mrtvog. Trenutno velika većina internetskih adresa i dalje koristi IPv4 standard.

Razumijevanje IPv6

Iako su primijenjene razne strategije za ublažavanje radi produljenja roka trajanja IPv4, pravo rješenje dolazi u obliku novog standarda - IPv6. Ovo koristi 128-bitne web adrese, čime se proširuje maksimalni raspoloživi broj web adresa na 2 ^ 128 (oko 340 milijardi milijardi milijardi!). Što bi nam trebalo osigurati IP adrese u doglednoj budućnosti.

Međutim, usvajanje IPv6 bilo je sporo - uglavnom zbog troškova nadogradnje, zaostalih sposobnosti i velike lijenosti. Stoga, iako svi moderni operativni sustavi podržavaju IPv6, velika većina ISP-ova i web stranica još uvijek ne smetaju.

To je dovelo do web mjesta koja podržavaju IPv6 da pristupe dvostepenom pristupu. Ako se spoje s adrese koja samo podržava IPv4, poslužit će IPv4 adresu, ali ako je spojen s adrese koja podržava IPv6, poslužit će IPv6 adresu.

To je dovelo do web mjesta koja podržavaju IPv6 da pristupe dvostepenom pristupu. Kad su spojeni na adresu koja podržava samo IPv4, oni će posluživati ​​IPv4 adresu. Ali ako se spoje s adrese koja podržava IPv6, oni će posluživati ​​IPv6 adresu.

Dok IPv4 adrese ne počnu izlaziti, ne postoji nedostatak korištenja veze samo za IPv4.

IPv6 VPN propušta

Nažalost, velik dio VPN softvera nije uspio doći do IPv6. Kada se na internetsku vezu s omogućenom IPv6 povežete na web mjesto s omogućenom IPv6, VPN klijent će preusmjeriti vašu IPv4 vezu putem VPN sučelja, ali potpuno nije svjestan da se IPv6 veza također uspostavlja..

Dakle, web stranica neće vidjeti vašu stvarnu IPv4 adresu, ali vidjet će vašu IPv6 adresu. Koje se osobe mogu identificirati.

rješenja

1. Koristite VPN klijent s IPv6 zaštitom od curenja

Svi dobri VPN klijenti ovih dana nude IPv6 zaštitu od propuštanja. U većini slučajeva to se onemogućuje IPv6 na sistemskoj razini kako bi se osiguralo da IPv6 veze jednostavno nisu moguće. To je nešto lijeno rješenje, ali dobro djeluje.

Tehnički su impresivnije VPN aplikacije koje pravilno usmjeravaju IPv6 veze putem VPN sučelja. Ovo je puno elegantnije rješenje i nesumnjivo je budućnost za sve VPN aplikacije.

Ako prilagođeni softver vašeg davatelja VPN-a ne sprječava redovite propuste IPv6, umjesto toga možete upotrijebiti aplikaciju treće strane. OpenVPN GUI za Windows, Tunnelblick za macOS, OpenVPN za Android i OpenVPN Connect za iOS (i druge platforme) pružaju učinkovitu zaštitu od propuštanja IPv6.

2. Ručno onemogućite IPv6 na vašem sustavu

Najsigurniji način sprječavanja svake mogućnosti propuštanja IP-a je onemogućavanje IPv6 na razini sustava (tamo gdje je to moguće). Pogledajte naš vodič o tome kako onemogućiti IPv6 na svim uređajima za upute o tome.

DNS propušta

DNS propuštanja su najpoznatiji oblik IP propuštanja jer su bili najčešći. Posljednjih godina većina VPN usluga povećala se, no u našim testovima otkrivamo curenje DNS-a mnogo rjeđe.

Dinamički sustav naziva (DNS) koristi se za prevođenje lako razumljivih i upamćenih web adresa koje smo upoznati (URL-ovi) na njihove "prave" brojčane IP adrese. Na primjer, prevođenje naziva domene www.proprivacy.com na njezinu IPv4 adresu 104.20.239.134. Dakle, u srcu DNS je samo maštoviti telefonski imenik koji odgovara URL-ovima i njihovim odgovarajućim IP adresama.

Ovaj DNS postupak prevođenja obično izvode DNS poslužitelji koje vodi vaš internetski pružatelj usluga (ISP). Kod većih davatelja internetskih usluga vjerojatno će se DNS upiti rješavati geografski blizu vama (na primjer, negdje u vašem gradu), ali to nije uvijek slučaj.

Ono što je sigurno je da će se DNS upiti rješavati u zemlji u kojoj ima vaš ISP (tj. Vašoj zemlji). Gdje god je riješen DNS upit, on neće biti na vašoj kućnoj IP adresi. Ali…

Rizici privatnosti

Vaš davatelj internetskih usluga može vidjeti što tražite

Vaš ISP rješava vaše DNS upite, pa:

  1. Zna IP adresu s koje su došli.
  2. On zna koje web stranice posjećujete, jer je jedan prijevod URL-ova koje upišete u IP adrese. Većina davatelja internetskih usluga više vodi evidencije ovih podataka koje obično ili ne moraju redovito dijeliti s vašom vladom ili policijskim snagama, ali koje ih uvijek može prisiljavati na razmjenu..

Sada ... u normalnom toku stvari to zapravo i nije previše važno jer je vaš ISP koji vas izravno povezuje s IP adresama koje posjetite. Tako da znate koje web stranice sve posjećujete.

VPN poslužitelj prolazi vašu internetsku vezu kako bi spriječio vašeg davatelja internetskih usluga da vidi što ste dobili na internetu. Ako još uvijek ne rješava vaše DNS upite, u tom slučaju se još uvijek može (neizravno) vidjeti koju web lokaciju posjećujete.

Možete biti pronađeni

Web stranice mogu vidjeti i zabilježiti IP adrese DNS poslužitelja koji izravno usmjeravaju veze s njima. Neće znati vašu jedinstvenu IP adresu na ovaj način, ali znat će koji je ISP riješio DNS upit i rutinski će kreirati vremensku oznaku kada se to dogodilo.

Ako oni (ili policija, na primjer, žele identificirati posjetitelja, jednostavno moraju pitati davatelja internetskih usluga "tko je u ovom trenutku poslao DNS zahtjev na ovu adresu?"

Opet, u normalnom toku stvari to nije bitno jer web stranice ionako mogu vidjeti vašu jedinstvenu IP adresu. Ali kada svoju IP adresu skrivate s VPN-om, ona postaje važno sredstvo "de anonimizacije" VPN korisnika.

Kako se događaju curenja DNS-a

Teoretski, kada koristite VPN, svi DNS zahtjevi trebaju biti poslani putem VPN-a, gdje ih može VPN davatelj interno obraditi ili proslijediti trećoj osobi koja će vidjeti samo da je zahtjev stigao s VPN poslužitelja..

Nažalost, operativni sustavi ponekad ne uspijevaju usmjeriti DNS upite putem VPN sučelja i umjesto toga ih šalju na zadani DNS poslužitelj naveden u postavkama sustava (koji će biti DNS poslužitelj vašeg davatelja internetskih usluga osim ako ručno niste promijenili svoje DNS postavke).

rješenja

1. Koristite VPN klijent s DNS zaštitom od curenja

Mnogi VPN klijenti rješavaju ovaj problem pomoću značajke "DNS zaštite od curenja". Ovo koristi pravila vatrozida kako bi se osiguralo da se DNS zahtjevi ne mogu slati izvan VPN tunela. Nažalost, ove mjere nisu uvijek učinkovite.

Ne razumijemo zašto je "DNS zaštita od propuštanja" često funkcija koju bira korisnik i koja nije zadana.

Opet, OpenVPN GUI za Windows, Tunnelblick za macOS, OpenVPN za Android i OpenVPN Connect za iOS (i druge platforme) nude dobru zaštitu od propuštanja DNS-a.

2. Onemogućite IPv6

Imajte na umu da je ovo samo djelomično rješenje, jer ni na koji način ne sprečava curenje IPv4 DNS-a. Ali jedan od glavnih razloga što čak i VPN aplikacije koje sadrže DNS zaštitu od propuštanja ne uspijevaju blokirati DNS propuste, je taj što oni samo zaštitni zid DNS zahtjeva IPv4 DNS poslužiteljima.

Budući da većina DNS poslužitelja ostaje samo za IPv4, često se mogu izvući s toga. No davatelji internetskih usluga koji nude IPv6 veze obično nude i IPv6 DNS poslužitelje. Dakle, ako klijent blokira samo IPv4 DNS zahtjeve izvan VPN sučelja, tada mogu proći i IPv6.

3. Promijenite svoje DNS postavke

Svi zaobilazni DNS upiti koji se ne kreću putem VPN sučelja (kako bi trebali) bit će poslani na zadane DNS poslužitelje navedene u postavkama vašeg sustava.

Ako ih niste već promijenili, adrese DNS poslužitelja (IPv4 i IPv6 ako su dostupni) automatski će se dobiti od vašeg davatelja internetskih usluga. Ali vi to možete promijeniti, a ovdje imamo upute za to.

Imajte na umu da promjena DNS postavki zapravo ne "popravlja" problem curenja DNS-a. Jednostavno je, što DNS zahtjeve prepuštate trećem rješenju umjesto davatelju internetskih usluga.

Srećom, sada postoje neke vrlo dobre DNS usluge usmjerene na privatnost koje ne zapisuju. Oni također štite DNS zahtjeve s DNS preko HTTPS (DoH) ili DNS preko TLS (DoT) DNS enkripcije, bez kojih vaš ISP može vidjeti DNS zahtjeve, u svakom slučaju, čak i ako ne postupa s njima..

Za više informacija o ovoj temi, kao i popis preporučenih besplatnih i privatnih DNS usluga, pogledajte ovdje.

Napomena za korisnike Linuxa

Ručno postavljanje VPN-a u Linuxu, bilo da koristi NetworkManager, CLI OpenVPN klijent, strongSwan ili nešto drugo, ne pruža zaštitu od propuštanja DNS-a. Srećom, postoje koraci koje možete poduzeti kako biste riješili taj problem, iako oni kompliciraju postupak postavljanja VPN-a.

Možete modificirati resoluconf tako da gurne DNS na DNS poslužitelje VPN-a ili ručno konfigurirate vatrozid iptables kako bi osigurali da sav promet (uključujući DNS zahtjeve) ne može napustiti vaš Linux uređaj izvan VPN tunela. Molimo pogledajte naše napomene o izradi vlastitog vatrozida kasnije u ovom članku za više o tome.

WebRTC propušta

Propuštanja WebRTC-a sada su najčešći oblik curenja IP-a koji primjećujemo na svojim testovima. Striktno rečeno, curenja WebRTC-a su problem preglednika, a ne VPN-a, što je dovelo mnoge pružatelje VPN-a da se distanciraju od problema koji nije lako riješiti..

Prema našem mišljenju, ovo nije dovoljno dobro. Zapravo, niti mislimo da je dovoljno dobro objavljivanje objave vodiča „Kako onemogućiti WebRTC“ skrivenih duboko u odjeljku za pomoć davatelja usluga..

Što su curenja WebRTC-a?

WebRTC je HTML5 platforma koja omogućuje glatku glasovnu i video komunikaciju unutar prozora preglednika korisnika. Sada gotovo svi moderni preglednici na gotovo svim glavnim platformama podržavaju WebRTC, uključujući Chrome, Firefox, Opera, Edge, Safari i Brave.

Izuzetak je i iOS, gdje samo Safari podržava WebRTC (barem bez dodatnih dodataka).

Da bi postigli besprijekornu komunikaciju pretraživač-preglednik kroz prepreke poput vatrozida, preglednici koji podržavaju WebRTC emitiraju vašu stvarnu IP adresu na STUN poslužitelje koji vode popis javnih IP adresa i korisnika i njihovih stvarnih IP adresa.

Svatko tko želi započeti WebRTC razgovor s vama (ili bilo koje nobno web mjesto) može zatražiti vašu stvarnu IP adresu i STUN poslužitelj će to jednostavno predati.

Obično se naziva propuštanjem WebRTC-a, ovaj se problem ponekad naziva i „greška WebRTC“. To je nešto pogrešno jer je namjerno i vrlo korisno svojstvo WebRTC-a. Ali prava je bol za VPN korisnike koji pokušavaju sakriti svoju stvarnu IP adresu!

rješenja

1. Onemogućite WebRTC u svom pregledniku

Ovo je jedini 100% učinkovit način za sprečavanje curenja WebRTC-a pri korištenju VPN-a. Preporučujemo da to učinite čak i ako je vaš VPN klijent učinkovit u ublažavanju protiv VPN propuštanja.

U Firefoxu je jednostavno onemogućiti WebRTC. Unesite "about: config" u URL traku da biste unijeli napredne postavke Firefoxa, potražite "media.peerconnection.enabled" i dvaput kliknite na unos da promijenite vrijednost u false..

Alternativno (i u ostalim preglednicima) postoje različiti dodaci za preglednike koji mogu onemogućiti WebRTC, uključujući Onemogući WebRTC, uBlock, uBlock Origin i NoScript. Neki pružatelji VPN-a uključuju svojstvo Onemogući WebRTC u svojim prilagođenim dodacima preglednika.

Cjelovitija rasprava o ovoj temi potražite u članku Što je WebRTC VPN "Bug" i kako ga riješiti?

2. Koristite VPN uslugu koja ublažava propuste WebRTC

Propuštanja WebRTC-a problem su preglednika, tako da je jedini uistinu učinkovit način za sprječavanje toga onemogućivanjem WebRTC-a u pregledniku..

U skladu s tim, davatelji VPN-a mogu upotrebljavati pravila vatrozida i pooštriti postavke na razini klijenta i VPN-a kako bi u velikoj mjeri smanjili vjerojatnost pojave curenja WebRTC-a. Nijedan davatelj VPN ne garantira da ove mjere djeluju, jer je web lokacijama uvijek omogućeno da provode pametni JavaScript kôd osmišljen kako bi povećao vjerojatnost propuštanja.

Međutim, otkrili smo da su neke VPN usluge dosljedno učinkovite u sprečavanju curenja VPN-a. Ipak preporučujemo da onemogućite WebRTC na razini preglednika čak i s ovim. Samo da budem na sigurnoj strani.

VPN ispusti i ubijte sklopke

Iako tehnički nije "curenje IP-a", jer se problem pojavljuje upravo zato što nemate VPN vezu, učinak je isti - mislite da ste zaštićeni VPN-om, kada u stvari cijeli svijet može vidjeti vašu IP adresu.

Što je prekid VPN-a?

Ponekad VPN veze ne uspiju, često iz razloga koji su potpuno izvan kontrole čak i najboljih VPN usluga. , Ako vaše računalo ostane povezano s internetom nakon što se to dogodi, tada će biti izložen vaš stvarni IP.

Ovo je posebno problem P2P preuzimačima koji ostavljaju BitTorrent klijentima da rade dok su udaljeni od svojih računala (često tokom dugog vremenskog razdoblja). Ako padne VPN veza, njihov istinski IP stoga je izložen svim provoditeljima autorskih prava koji prate bujicu koju preuzimaju.

Problem je i za mobilne korisnike, jer prebacivanje između WiFi i mobilne mreže i prebacivanje mobilnih mreža mogu uzrokovati prekid VPN-a..

rješenja

1. Koristite prekidač kill

Prekidač za uklanjanje sprečava vaš uređaj da se poveže s internetom kad VPN ne radi. Gotovo sve moderne kill sklopke zapravo su vatrozidi ili pravila vatrozida na razini sustava koji blokiraju sve internetske veze izvan VPN sučelja.

Dakle, ako VPN softver ne uspije ili se treba ponovno povezati, tada je blokiran sav pristup internetu. Zapravo, ista pravila vatrozida pružaju učinkovitu zaštitu od propuštanja DNS-a i mogu pomoći u ublažavanju protiv curenja WebRTC-a.

Kill prekidači sada su vrlo česta značajka u VPN klijentima na radnoj površini, mada su rjeđe kod mobilnih aplikacija. Međutim, Android 7+ uključuje ugrađeni prekidač za uklanjanje koji radi sa bilo kojom instaliranom VPN aplikacijom.

VPN aplikacije mogu upotrebljavati vlastiti vatrozid za izradu prekidača za zaustavljanje (i druge zaštite od curenja) ili mogu izmijeniti ugrađeni vatrozid vašeg sustava. Poželjno je potonje rješenje jer će prekidač kill preživjeti čak i ako se aplikacija u potpunosti sruši. Ali bilo koji prekidač za ubijanje je mnogo bolji od bilo kojeg.

Izradite vlastiti prekidač za uklanjanje i zaštitu od propuštanja DNS-a pomoću pravila vatrozida

Kao što smo vidjeli, mnoge VPN aplikacije koriste vlastita pravila vatrozida ili modificiraju pravila vatrozida vašeg sustava kako bi stvorili prekidač za uklanjanje i spriječili curenje DNS-a. Sasvim je moguće da istu stvar napravite ručno.

Pojedinosti se razlikuju po OS-u i programu vatrozida, ali osnovni su principi:

1. Dodajte pravilo koje blokira sav odlazni i dolazni promet na vašoj internetskoj vezi.

2. Dodajte iznimku za IP adrese vašeg davatelja VPN-a.

3. Dodajte pravilo za svoj TUN / Tap adapter (ako upotrebljavate OpenVPN ili neki drugi VPN uređaj drugačije) kako biste omogućili sav odlazni promet za VPN tunel.

Imamo detaljan vodič za to pomoću Comodo vatrozida za Windows. Korisnici Mac računala mogu isto učiniti pomoću Little Snitch, dok korisnici Linuxa i oni koji pokreću VPN klijent na DD-WRT usmjerivaču mogu koristiti iptables.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me