¿Cómo compartir la conexión VPN con los dispositivos en el hotspot?

Android no redirige el tráfico de hotspots a través de la red VPN hasta donde he probado en Pie ROM (casi de serie; los ROMs personalizados pueden tener diferentes implementaciones o algunas configuraciones específicas). La razón es que VPNService API funciona en el marco de Java de Android para redirigir el tráfico a la VPN tun interfaz basada en UIDs (y/o marcas de SOcket) de aplicaciones. Mientras que la atadura funciona en código nativo; dnsmasq es el servidor DNS (hasta Pie) mientras que el resto del tráfico es manejado por el kernel directamente. También el uso de la misma conexión a Internet o VPN para múltiples dispositivos puede romper los términos del contrato con los proveedores de servicios. Así que se deja desactivado por defecto.

Una solución es modificar la tabla de enrutamiento pero requiere que Root y es un poco complejo en Android. Esto funciona para mí:

~# ip rule add iif wlan0 lookup table 5000
~# ip route add default dev tun0 table 5000
~# ip rule add to 192.168.43.0/24 lookup table 5001
~# ip route add default dev wlan0 table 5001

• El primer comando añade una regla a la RPDB para enviar el tráfico que viene en la interfaz de hotspot (WiFi) a la mesa 5000.
• El segundo comando agrega una ruta a la tabla de rutas 5000 para enviar todo el tráfico en tun0 interfaz, es decir, la utilizada por la aplicación VPN.
• Las reglas tercera y cuarta son inversas, es decir, envían el tráfico que viene de la VPN a los dispositivos conectados.

El cortafuegos funciona por encima de la política de enrutamiento. Las reglas de reenvío y el NAT de origen ya deberían estar configuradas con hotspot pero sólo para asegurarse:

~# echo -n 1 >/proc/sys/net/ipv4/ip_forward
~# iptables -I FORWARD -o wlan0 -i tun0 -j ACCEPT
~# iptables -I FORWARD -i wlan0 -o tun0 -j ACCEPT
~# iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE

• Los primeros tres comandos instruyen al kernel/firewall para que reenvíe el tráfico en ambas direcciones entre las interfaces VPN y hotspot.
• El cuarto comando establece el SNAT, es decir, mantiene un seguimiento del tráfico del hotspot que sale de la interfaz VPN y regresa.

Asegúrate de que los nombres de las interfaces y la dirección IP son correctos como en tu dispositivo.

RELACIONADO: ¿Cómo usar el DNS privado en el Pastel Android para atar?

Otra opción sería utilizar una Raspberry Pi como router con uno de sus puertos USB conectado a tu teléfono con la conexión a internet basada en VPN. Para proporcionar Internet a otros dispositivos, el puerto ethernet de la Raspberry Pi puede conectarse a un router/interruptor/puente y/o también se podría utilizar el propio wifi de la Pi para difundirlo para dispositivos inalámbricos. O se podría añadir un punto de acceso inalámbrico al router conectado a la Pi.

Aquí hay una respuesta para el uso de un Raspberry Pi atado a un teléfono para permitir que su red móvil para ser proporcionado como una conexión a Internet otros dispositivos:

Respuesta a: Dispositivo 4G LTE [USB Tethering]--> Raspberry Pi [Ethernet]--> Router, ¿es posible?

Lo que esta respuesta supone es que tu teléfono soportará el anclaje USB y la VPN al mismo tiempo y que la conexión a Internet basada en la VPN puede ser dirigida a través de esa conexión de anclaje USB al host USB al que está conectado tu teléfono.

Si eso es posible, entonces no puedo prever otros bloqueos, suponiendo que los pasos descritos en esa respuesta sean correctos (aún no los he probado).

Si tiene éxito, eso significa que no tendrá que hacer ningún ajuste particular en su teléfono. posibles ejemplos de la reducción de las molestias podría ser: menos implicación, menos riesgo de 'brickear' el teléfono, menos riesgo de que las aplicaciones bancarias dejen de funcionar debido al rooteo, también se puede utilizar otro teléfono sin tener que rehacer los pasos en ese.

Actualización

_(Tras una comentario de @Irfan Latif aquí, he añadido un comentario de respuesta y actualicé mi respuesta con ella, aquí):_

Sin embargo, si la VPN no está soportada al mismo tiempo que el tethering USB en tu teléfono, entonces la siguiente opción que podrías probar es ejecutar el VPN en la propia Pi Otros proveedores de VPN, como speedify.com también es compatible con la Raspberry Pi - y Speedify, en particular, puede unir diferentes conexiones de red en caso de que, por ejemplo, el autor original quiera utilizar varios teléfonos, etc., como fuentes de conexión a Internet. . No trabajo para ExpressVPN ni Speedify ni tengo ningún interés financiero o afiliación con ellos.

También hay que tener en cuenta que si se intenta esto, entonces la configuración de ese respuesta enlazada arriba pueden necesitar ajustes porque pueden haber sido escritas para un escenario que no utiliza una VPN. Yo digo puede - porque puede que sigan funcionando - no lo sé - sólo quiero llamar tu atención sobre ello para minimizar cualquier frustración :) . Con eso en mente, el enfoque podría ser conseguir los pasos de trabajo en su configuración con la Raspberry Pi, sin la VPN en ejecución. A continuación, instale ExpressVPN en la Raspberry Pi y ver si sigue funcionando. Al haber probado sin VPN primero, sabrás que la Raspberry Pi puede funcionar como un router, así que tienes eso y lo usas como base para que funcione con la VPN. Tal vez el proveedor de la VPN pueda ayudarte, o al menos podría estar interesado, ya que tal vez haya otros que quieran hacer lo que tú pretendes conseguir, así que les ahorra tiempo en dar soporte a todo el mundo en esto, además de darles una ventaja en el soporte y atraer a aquellos que aprecian la adaptabilidad - todo ello es bueno para su oferta en el mercado.

En mi caso tengo una Samsung tab que se brickeó y perdió la funcionalidad de la red móvil. Ahora quería atar la conexión vpn al teléfono que ese wifi me hotspoted. Resulta que Android se especializa en paquetes tethered (quiero decir que las conexiones de los clientes tethered no pueden ser rastreadas por el propio sistema o bloqueadas por las aplicaciones normales de firewall de Android, pero iptables puede bloquearlas), así que usé esto en mi beneficio.

Resulta que la solución es sencilla. Funciona en vpns personalizables sobre tcp( para udp tal vez u necesidad de ejecutar un servidor proxy de calcetines havent probado eso).

1. Descargue cualquier aplicación de servidor proxy en playstore.
2. En mi caso estaba usando openvpn por lo que se necesita un cliente openvpn personalizable e ir a las opciones de excluir rutas e introducir la dirección ip del teléfono que necesita conectarse a mi servidor proxy.
3. Simplemente inicie la conexión vpn y cambiar la configuración de wifi y añadir la ip un puerto del servidor proxy y su son buenos para ir o simplemente ejecutar una vpn a través de tcp utilizando ese servidor proxy en el teléfono que desea tether.

Nota: En el paso 2 excluir las rutas es para mi caso o simplemente cuando quieres hacer tethering al punto de acceso pero si eres tú el que hace tethering no hay necesidad de cambiar las rutas. También en mi caso pude ejecutar una vpn en mi punto de acceso sin que se corte mi conexión en el teléfono cliente como una vpn sobre una vpn.