Настройка постоянного VPN на Android с использованием доменного имени сервера вместо IP-адреса сервера

Я подключаюсь к своему домашнему VPN на базе Hamachi через мобильное устройство Android (v4.4.x) с помощью IPSec. VPN-соединение работает нормально, за исключением того, что я не могу настроить соединение как всегда включенное в настройках VPN Android. В результате соединение часто обрывается и требует, чтобы я вернулся в настройки Android своего мобильного устройства и перезапустил VPN вручную, что раздражает и в некотором роде лишает смысла иметь VPN.

(Примечание: немного больше о настройке "всегда включено" можно найти здесь внизу статьи: http://www.howtogeek.com/135036/how-to-connect-to-a-vpn-on-android/.)

Причина моей проблемы в том, что Android требует статический IP-адрес VPN-сервера, прежде чем он примет VPN-соединение как "всегда включенное", а Hamachi не использует статический IP-адрес для мобильных VPN-подключений. Вместо этого он использует только статический URL-адрес "m.hamachi.cc".

Итак, у меня есть два вопроса: во-первых, как я могу настроить свое VPN-соединение как "всегда включенное", если у VPN-сервера нет статического IP-адреса, который требуется? Во-вторых, почему Google требует статического IP-адреса для постоянного подключения, в чем выгода?

Спасибо, я буду признателен за любые идеи.

2 ответа

Прошло довольно много времени с тех пор, как об этом спрашивали, но я все равно пытаюсь ответить на него. Исходя из ответа в этой теме, проблема заключается в подмене DNS:

Всегда на связи vpn защищает вас от сети, которой вы не можете управлять. Если вместо ip у вас есть DNS-имя, устройство должно будет разрешить это имя ДО того, как будет установлен туннель vpn. Но это разрешение может произойти в сети, которой вы не доверяете, поэтому вы не можете быть уверены, что ip, возвращенный для имени, является правильным.

Одним из сценариев будет то, что DNS-сервер в ненадежной сети даст вам IP-адрес VPN-сервера под его контролем, на который затем будут отправлены ваши учетные данные (вместо вашего собственного сервера).

Вы не можете рассчитывать на какую-либо связь до установки VPN-туннеля. Установление VPN-туннеля должно начинаться с настройки зашифрованного соединения на основе сертификатов, поэтому ARP Poisoning, упомянутый Aron, не может повлиять на него (так как атакующий компьютер не сможет установить соединение, он может только предотвратить связь между вами и сетью, поэтому изменение атаки с MITM на DOS)

Поэтому любой DNS-запрос для установления IP-адреса сервера может быть скомпрометирован (или просто заблокирован, поэтому вы никогда не подключитесь). Вы должны предоставить DNS-серверы для предотвращения утечки информации вашему текущему провайдеру.

Другие вопросы по тегам