Настройка постоянного VPN на Android с использованием доменного имени сервера вместо IP-адреса сервера
6569
hbere
Я подключаюсь к своему домашнему VPN на базе Hamachi с моим мобильным устройством Android (v4.4.x), используя IPSec. VPN-соединение работает нормально, за исключением того, что я не могу настроить соединение как всегда включенное в настройках VPN Android. В результате соединение часто обрывается и требует, чтобы я вернулся в настройки Android своего мобильного устройства и перезапустил VPN вручную, что раздражает и в некотором роде лишает смысла иметь VPN.
Причина моей проблемы в том, что Android требует статический IP-адрес VPN-сервера, прежде чем он примет VPN-соединение как «всегда включенное», а Hamachi не использует статический IP-адрес для мобильных VPN-подключений. Вместо этого он использует только статический URL-адрес "m.hamachi.cc".
Итак, у меня есть два вопроса: во-первых, как я могу настроить свое VPN-соединение как «всегда включенное», если у VPN-сервера нет статического IP-адреса, который требуется? Во-вторых, почему Google требует статического IP-адреса для постоянного подключения, в чем выгода?
Спасибо, я буду признателен за любые идеи.
2 ответа на вопрос
1
Christian
Прошло довольно много времени с тех пор, как об этом спрашивали, но я все равно пытаюсь ответить на него. Основываясь на ответе в этой теме, проблема заключается в подмене DNS:
Всегда на связи vpn защищает вас от сети, которой вы не можете управлять. Если вместо IP-адреса у вас есть DNS-имя, устройство должно будет разрешить это имя ДО того, как будет установлен туннель vpn. Но это разрешение может произойти в сети, которой вы не доверяете, поэтому вы не можете быть уверены, что ip, возвращенный для имени, является правильным.
Одним из сценариев может быть то, что сервер DNS в ненадежной сети даст вам IP-адрес VPN-сервера под его контролем, на который затем будут отправлены ваши учетные данные (вместо вашего собственного сервера).
На этом уровне защиты от оловянной фольги защита статического IP от отравления ARP защищает? Что, возможно, так же просто, как подмена DNS.
Aron 7 лет назад
3
Вы абсолютно правы. Я предполагаю, что причина этого заключается в том, что это был один из простых способов предотвратить спуфинг DNS, в то время как меры против спуфинга ARP будет сложнее реализовать на смартфоне (см. Https://en.wikipedia.org/wiki/ARP_spoofing#Defenses) Если я Я не ошибаюсь, проблема может быть решена с использованием протокола VPN, который принуждает сервер с доверенным сертификатом
Christian 6 лет назад
0
@christian Действительно, все современные протоколы VPN либо имеют возможность аутентификации конечной точки (например, с помощью PKI или закрепления сертификата сервера), либо их обмен ключами использует общий секрет таким образом, что ничего не раскрывается о секрете при попытке соединения мошеннику.
Terry Burton 6 лет назад
0
-1
Marcin Konrad Ceglarek
Вы не можете рассчитывать на какую-либо связь до установления VPN-туннеля. Установление VPN-туннеля должно начинаться с настройки зашифрованного соединения на основе сертификатов, поэтому ARP Poisoning, упомянутый Aron, не может повлиять на него (поскольку у атакующего компьютера не будет способа фактически установить соединение, он может только предотвратить связь между вами и сетью, поэтому изменение атаки с MITM на DOS)
Поэтому любой DNS-запрос для установления IP-адреса сервера может быть скомпрометирован (или просто заблокирован, поэтому вы никогда не подключитесь). Вы должны предоставить DNS-серверы для предотвращения утечки информации вашему текущему провайдеру.
Это комментарий, представленный как ответ на вопрос. Вы должны отредактировать свой ответ так, чтобы он прямо и подробно отвечал на вопрос автора. Комментарии никогда не следует отправлять в качестве ответа на вопрос. «Поскольку я не могу комментировать, я бы предположил, что ваш ответ Кристиан правильный.» - * Это утверждение является комментарием. *
Ramhound 7 лет назад
0