修復 OpenVPN 上的 Cisco Umbrella 根 CA 過濾
我有一個在 ubuntu 16.04 上執行 OpenVPN 2.3.10 的個人 VPN,我按照本指南安裝了該 VPN 。在過去兩個月的間歇性使用中,它遇到了一些小問題。
昨天,我嘗試在我的 MacBook(OS X 10.14.1)上使用 Safari 訪問 Reddit,但我收到一條錯誤消息,提示 OpenDNS 正在為我的 IP 地址過濾論壇。我也從我以前從未訪問過的網站收到各種“不安全連接”警告和其他關於潛在中間人攻擊的警告。因此,我不太可能只是為 Reddit 的安全設置了一些有趣的例外,這些例外現已過期。並非所有網站,但除了出於某種原因被明確過濾的網站外,我無法找出模式。
VPN 在網路上的電腦上執行,普通使用者(即他們自己的電腦)訪問 Reddit(或其他網站)沒有問題。 所以問題很可能出在VPN本身。 例如,OpenDNS 實際上並沒有阻止到我的 IP 的流量,因為網路的所有使用者都有相同的 IP 面向網際網路並且他們沒有問題。
網路中的使用者(也使用 MacBook)在正常使用網路時訪問 Reddit(他使用 Firefox,以防萬一)沒有問題。如果他從網路內連接到 VPN,他會遇到與我相同的問題。我也有使用 VPN 的 iOS 設備,他們也有這個問題。我也可以在沒有這個問題的情況下使用 VPN Unlimited,進一步表明這是我的 VPN 和(可能)Apple 設備的問題。
在四處尋找解決此問題的方法時,我發現該網站告訴我將名為 Cisco Umbrella“根 CA”的證書添加到我的鑰匙串中,然後將其設置為“始終受信任”。 ~~這似乎解決了我的 MacBook 上的過濾問題。~~編輯:這不是真的,我不知道為什麼它似乎工作了一段時間,但它不再。
由於我遇到問題的所有設備都是 Apple 產品,我猜 Apple 最近推出了某種導致此問題的安全更新,但我的 VPN 上的某些內容也很可能已過期。我想知道為什麼會突然發生這種情況,如果我可以對 VPN 伺服器進行更改,以便為我的所有設備修復它。
在設置 OpenVPN 的指南第 7 步(配置 OpenVPN 服務)中,他們讓您將 OpenDNS 推送為您的 DNS 服務。我將這些更改為我的 ISP 的 DNS 伺服器(和 Google 的),這似乎已經解決了問題。指南說要使用的地方
push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
;
在每個前面用 a 註釋掉這些,並push "dhcp-option DNS W.X.Y.Z"
為您要使用的每個 DNS 伺服器添加一個,其中 WXYZ 是您的 ISP 提供的 DNS 伺服器。我有三個,它有效。我想 OpenDNS 最近更新了它的政策,因為直到最近我一直在使用他們的 DNS 幾個月都沒有問題。如果該網站出現故障,您編輯的文件是 server.conf。我已將該文件放在 /etc/openvpn 中,但您的可能不存在。然後我重新啟動了伺服器,網際網路不再被過濾。