KIS запретить трафик вне VPN для программ

[hoffman25]

Есть ВПН сервер к которому идет подключение через клиентOpenVpn.

Нужно для отдельных программ (или хотя бы для всех если отдельно невозможно) запретить интернет вне ВПН соединения. Т,е. программа должна иметь доступ в сеть только через ВПН.

Как это реализовать в KIS фаерволе? Пробовал разными путями, но не получилось.

[kmscom]

В окне Правила программы https://support.kaspersky.com/KIS/21.3/ru-RU/82507.htm на вкладке Сеть добавьте сетевое подключение VPN, поместите его вверх списка и разрешите ему подключение, а остальным запретите

[hoffman25]

В окне Правила программы https://support.kaspersky.com/KIS/21.3/ru-RU/82507.htm на вкладке Сеть добавьте сетевое подключение VPN, поместите его вверх списка и разрешите ему подключение, а остальным запретите

Я пробовал так делать. Прописываю в правиле адрес сервера ВПН, разрешаю исходящие к нему, а остальные стандартные правила (публичная сеть, локалка и доверенная сеть) запрещаю. Пробовал в разных вариациях это правило, но не работает.

Почему-то иногда  браузер заходит на некоторые новые сайты, а на некоторые нет. Причем если в мониторе сетевой активности открыть сетевые правила для браузера, то мое правило там почему-то отсутствует.

Я также пробовал создавать глобальное пакетное правило по такому методу, но это ничего не дает. Пробовал также адаптер ВПН соединения выставлять как доверенную сеть и разрешать к ней соединение, а публичную сеть (интернет) блокировать при этом. Ничего из перечисленного у меня не работало.

[kmscom]

@hoffman25  покажите скриншот окна Свайства сети, кликнув по сноске Доступные сети в Настройках Сетевого экрана

[kmscom]

 

Пробовал также адаптер ВПН соединения выставлять как доверенную сеть и разрешать к ней соединение, а публичную сеть (интернет) блокировать при этом. Ничего из перечисленного у меня не работало.

поясните словосочетание “не работало”. подключение к сети интернет происходило минуюя VPN или подключения не было вообще?

[hoffman25]

 

Пробовал также адаптер ВПН соединения выставлять как доверенную сеть и разрешать к ней соединение, а публичную сеть (интернет) блокировать при этом. Ничего из перечисленного у меня не работало.

поясните словосочетание “не работало”. подключение к сети интернет происходило минуюя VPN или подключения не было вообще?

Честно говоря я так и не понял сам. Вроде подключение при этом блокируется. Но иногда (то ли при разных вариантах правил, то ли просто иногда) браузер заходил на сайты. При этом, как я понял, он заходит на недавно посещенную страницу, но на новую не может. Видимо из кеша берет или что. 

 

Сама блокировка работает вроде, браузер на новые сайты не заходит, хотя разрешение для него работать через впн прописано.

[Friend]

Здравствуйте, @hoffman25,
Настройка сетевого экрана, чтобы доступ был только при включенном VPN -соединение:

Отталкиваемся от типовой конфигурации сети, клиент за роутером, который подсоединён к сети провайдера.
Для VPN соединения добавляется виртуальный адаптер WAN Miniport (PPTP) в случае обычного VPN на Windows сервере, либо TAP адаптер в случае OpenVPN сервера.

Нужно добавить пять пакетных правил в сетевой экран: https://support.kaspersky.ru/15163  , которые нужно переместить на самый верх и расположить в указанном порядке.

Остальные правила можно оставить как есть, чтобы не ослабить защиту по части входящих пакетов.

1. Allow (Разрешить), RemoteAddresses=192.168.1.0/24, Direction=out, all protocols & ports
Это правило позволит соединяться со всеми устройствами в локальной сети пользователя, расположенной за роутером (принтеры, сетевые диски, другие компьютеры).
Вы должны задать в этом правиле подсеть или диапазом адресов, актуальный для его домашней LAN.

2. Allow, RemoteAddresses=95.211.146.164, Direction=out, all protocols & ports
Это правило разрешает исходящий служебный траффик для установления туннеля с VPN-сервером.

3. Allow, LocalAddresses=10.8.0.0/24, Direction=out, all protocols & ports
При установлении туннеля VPN сервер присвоит VPN-адаптеру адрес, как правило это адреса вида 10.8.0.*.
Данное правило позволит исходящие пакеты внутри туннеля (например, доступ по http через браузер).
Чтобы его узнать вам, надо командой ipconfig посмотреть значение ipv4-адрес, который задан для соответствующего VPN соединения.

4. Allow, RemoteAddresses=255.255.255.255, Direction=out, UPD protocol, ports: 67, 68.
Данное правило позволит посылать широковещательный запрос для получения DHCP настроек (ip адрес, гейт по умолчанию, dns сервер).

5. Deny (Запретить), Direction=out, all protocols & ports
Данное правило отсечёт все исходящие утечки вне VPN туннеля за пределами локальной сети.

Ниже идут остальные пакетные правила по умолчанию. Таким образом мы перекроем траффик от всех приложений в интернет минуя VPN-соединение.

С установленным туннелем такие приложения, как например, Сhrome, Dropbox, ping - устанавливают соединение с внешним миром, при выключении туннеля - приложения не могут выйти в интернет.

Скриншот с правилами приложен.

 

 

 

[hoffman25]

3. Allow, LocalAddresses=10.8.0.0/24, Direction=out, all protocols & ports

Попробовал все сделать. Есть глюк в фаерволе. Если создать третье правило для локальных адресов 10.8.0.0/24, то оно автоматически после создания стирает этот IP и поле остается пустым. Таким образом у меня остается поле “Адреса из списка”, а сами адреса при этом отсутствуют.

Если это правило в таком глючном виде оставлять включенным, то интернет работает как без впн, так и с впн. Если же правило отключить через деактивацию галочки, то интернет не работает нигде.

В общем что-то не так, потому что не работает метод опять.

[hoffman25]

В общем решил по совету выше, но немного модифицировал под себя правило. И в моем случае достаточно было только разрешения на локальный адрес из правила номер 3. Я проделал это для программ, которым нужно так ограничить доступ в интернет. По какой-то причине это же правило, если прописывать его глобально в пакетных правилах, не срабатывает, т.к. касперский трет из поля локальный адрес, глюк какой-то в общем.