不受信任的 VPN 客户端可以监控我的网络活动吗？

Question

我的场景是：

• 这是我自己的 Windows 10 机器。
• 客户端安装了一个 VPN，将我连接到他们的服务器。当我的 Windows 10 机器启动时，VPN 会自动连接。
• 如果我不在 VPN 上，则无法连接到他们的服务器。
• 当我连接到他们的 VPN 时，我的 IP 地址是不同的。

我的问题是，当我通过他们的 VPN 连接时，客户端能否监控我在我的机器上所做的事情（例如观看 YouTube、屏幕共享或处理其他客户的项目）？

我可以阻止客户端监视我的其他任务吗？（我将这台特定的机器用于多个客户项目。）

Answer 1

当我通过 VPN 连接时，客户端可以监控我在我的机器上做什么

这取决于他们实际安装的内容，以及 VPN 客户端的配置方式。

普通的 VPN 客户端通常不会传输有关您正在执行的操作的信息——服务器不知道您正在编辑文件，也不知道您正在编辑哪个文件。

但它确实处理您的网络流量（显然），并且可以从该流量中确定很多信息。例如，VPN 服务器的管理员可以知道您是否在使用 TeamViewer（但不是实际数据 - 加密），或者您是否正在观看 YouTube（但不是实际视频 URL - 加密），或者您是否正在发送电子邮件（但不是实际的电子邮件内容）。换句话说，他们会看到您的 ISP 会看到的所有内容，但通常仅此而已。

因此，首先，可以将 VPN 客户端配置为通过隧道路由所有流量，或仅路由特定流量。（使用仅连接到学校/公司网络而其他一切都保持不变的 VPN 是很常见的，也就是“拆分隧道”VPN。）

如果客户端是诚实的（而不是懒惰的），他们可以将 VPN 配置为仅捕获到该客户端服务器的流量，而没有其他任何内容。但是，他们也可以配置 VPN 客户端来捕获您的所有流量（或仅是竞争对手网站的流量等）。当然，为所有流量启用 VPN 本身并不是恶意的，但它确实允许您的客户端监控您。

在你的情况下，“当我连接到他们的 VPN 时，我的 IP 地址是不同的”强烈表明一切都通过 VPN。

但是，第二，你不是100％肯定他们是否安装只是一个VPN。他们可能安装了其他软件，例如专门记录所有浏览器访问或跟踪当前活动的程序的软件。

我可以阻止客户端监视我的其他任务吗？

您允许客户端在您的计算机上安装软件——您已经失败了。

它是可以使用VPN连接到客户端的网络，其余的仍安全; 但是，具体如何执行取决于您需要使用的 VPN 客户端。

首先，您需要根据提供的信息自行下载和配置 VPN 客户端（而不是让客户端执行此操作），并且您需要确保 VPN 客户端没有任何“远程配置”功能允许它在本地安装更多组件。

如果有疑问，请仅将任何客户端提供的软件安装到单独的机器（可能是 VM）上，而不要安装到您的主计算机上。

Answer 2

客户端已安装 VPN，

是的，他们可以在概念上对你做任何他们想做的事情，包括间谍活动。如果您不完全信任他们，那么采取预防措施就为时已晚。因为它们实际上可能不是恶意的，只需擦拭机器（即重新安装操作系统/软件）就足够了。

我的问题是，当我通过 VPN 连接时，客户端是否可以监控我在我的机器上所做的事情（例如观看 YouTube、屏幕共享或处理另一个客户端项目）

除此之外，他们已经根植了你的机器，从网络的角度来看，还有几种配置 VPN 的方法。其中之一是通过隧道路由所有流量，以便 VPN 端点将您连接到互联网。在这种情况下，他们可以看到有关您访问的站点和时间的元数据，但 HTTPS 连接或 SSH 连接的加密有效负载应该是安全的。好吧，除了他们可能破坏加密以便他们可以更深入地窥探这一事实之外……一些企业风格的网络工具在安装客户端端点软件时默认会这样做。

下次预防措施

不允许客户端在您的机器上安装软件。曾经。尤其是当你对此感到不安时。如果对您的开发机器的控制对他们来说非常重要，请要求提供一台。否则，购买一份好的虚拟化软件（基本上是 VMWare Workstation）并自己在开发 VM 中配置 VPN。

Answer 3

当我连接到他们的 VPN 时，我的 IP 地址是不同的。

假设您指的是互联网上的公共 IP 地址，如 WIMI（我的 IP 是什么）之类的服务所示https://wimi.com/

这意味着 VPN 客户端正在通过 VPN 重定向您的所有流量。OpenVPN 将此称为“默认网关重定向”，并且您的所有互联网流量都将您的 inet 链接传递到他们的链接，通过他们的网络并返回到互联网。

他们网络中的任何代理服务器/防火墙设备都可以监控您的流量。

短期修复方法是在本地计算机上修改系统的路由表，并在 VPN 连接后恢复默认网关。

启动管理员命令提示符并运行

 route print

这是 windows ipv4 路由表的顶部。

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

我建议您比较连接客户 VPN 和未连接时默认网关线路之间的差异。

我认为您想在连接客户端 VPN 后立即运行（以管理员身份）的命令将类似于：

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

这掩盖了 VPN 可能做出的任何 IPv6 更改。此外，您还需要检查您的 DNS 解析器，以防 VPN 将您的所有 DNS 请求发送到客户端的 DNS 服务器。

如果客户端 VPN 是基于OpenVPN的，您可以编辑本地配置文件并添加如下一行

 pull-filter ignore redirect-gateway

如果您想覆盖 VPN 附带的 DNS 服务器，那么这样的行将忽略这些设置：

 pull-filter ignore "dhcp-option DNS "

记录在https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway