Por que consigo acessar meu roteador mesmo com o VPN ativado?

Tenho o aplicativo cliente PIA instalado no meu PC com Windows. Ele está conectado e sites como whatismyipaddress.com mostram que agora tenho um endereço IP do PIA.

Pelo que entendo, isso significa que tudo o que meu navegador envia (incluindo URLs) será criptografado aqui mesmo no meu PC, depois enviado para o servidor VPN, criptografado lá e enviado ao destino.

Isso significa: até mesmo o meu próprio roteador deveria ser incapaz de dizer a quais URLs qualquer solicitação foi enviada, porque tudo o que ele recebe do meu PC é uma sopa de caracteres criptografados.

Mas, quando insiro o endereço IP do meu roteador no navegador, obtenho a página de login de administração do meu roteador. Isso não deveria ser possível, porque:

1. O servidor VPN não poderia enviar a solicitação para aquele IP, já que ele só é acessível de dentro da minha rede, certo?
2. Se a solicitação fosse criptografada, o roteador não conseguiria entender que ela era o destinatário pretendido e não saberia enviar uma resposta com a página de login.

Isso significa que algo reconhece o IP como pertencente ao roteador e envia a solicitação sem criptografia? Se sim, o Windows ou o aplicativo cliente PIA são responsáveis por isso?

“Permitir tráfego LAN” é uma configuração no cliente.

todo software reconhece IPs locais e, por design, não envia esse tráfego para o exterior. então, ao fazer login no roteador (que tem um desses IPs locais), a solicitação nunca saiu do PIA, ela vai diretamente para o roteador.

Os protocolos IP não são criptografados, você bypassou a VPN.

O tráfego na sua LAN local não passa pelo VPN.

Todo o tráfego externo, ou seja, fora da sua LAN local, passa pelo VPN.

Isso é controlado pela opção “Permitir Tráfego LAN” nas configurações de rede do PIA.

Sua LAN local é qualquer IP que tenha os mesmos 3 primeiros octetos do IP do seu PC.

Ok, hora da explicação da rede. PIA é uma VPN, Rede Virtual Privada. Seu computador reconhece a diferença. Quando você digita o IP de login, a solicitação não sai do seu roteador. Você provavelmente acessa por algo como 10.0.0.1 ou similar e, como toda a internet, incluindo a enviada via VPN, passa pelo roteador, que a envia para lá, exceto quando é local. Quando é local, ele diz, bem, isso está na rede local, então não preciso enviar para fora e usa sua rede interna, que é diferente do tráfego da Internet. Resumindo, você ainda está protegido, pode acessar seu roteador devido ao funcionamento da Internet.

Não tenho certeza do que “protocolos IP” significam.

Você está me dizendo que toda vez que o navegador envia uma solicitação diretamente para um IP, em vez de um domínio, essa solicitação não passaria pela VPN?

Porque isso não faz sentido algum. Significaria que um site que quer saber meu IP real só precisaria incluir algum recurso externo como uma imagem ou um arquivo JavaScript com o IP do servidor deles, em vez do domínio no atributo “src”. O navegador então solicitária o recurso diretamente daquele IP, bypassando a VPN, e o site saberia meu IP real.

Duvido muito que uma vulnerabilidade tão severa ainda exista até hoje.