VPN Verbindung Window 7

S

steff517

New Member
Hallo *,

ich habe ein Problem mit meinem VPN.

Was ich möchte
Ich will mit meinem Notebook unterwegs sicher über unverschlüsselte Hotel-WLANs sufen. Jegliche Verbindung nach außen soll NUR über das VPN erlaubt sein.

Was ich bisher habe
Einen VirtualServer (debian) mit einem OpenVPN Server, ein Netbook mit Windows 7. Das Einwählen ins VPN klappt, die Verbindung steht und der komplette Traffic wird getunnelt. Soweit so gut.

Was nicht funktioniert
Wie gesagt soll der Traffic nur durch den Tunnel erlaubt sein. Daher möchte ich per Windows Firewall alles ein- und ausgehende blocken, ausser den OpenVPN port. Ich habe also den Tunnel als "Privates Netzwerk" und alles andere als "Öffentliches Netzwerk" konfiguriert. Für private Netzwerke ist alles erlaubt, bei öffentlichen Netzwerken ist ber whitelist nur der openVPN port erlaubt. Der Whitelist-Eintrag scheint zu gehen, denn ohne Tunnel kann ich nicht surfen, die OpenVPN-Verbindung kann aber erfolgreich aufgebaut werden.
Das Problem ist, dass ich aber auch mit Tunnel nicht surfen kann. Hier meldet Firefox, dass die Verbindung fehlgeschlagen ist. Ich kann aber google.de anpingen und z.B. auch per SSH auf meinen vServer. Das finde ich sehr seltsam...
Jetzt wollte ich im Firewall-Log schauen, welche Regel das blockt, aber das log existiert bei mir garnicht am konfigurierten Ort.
Hat jemand eine Idee?

Gruß,
Steff517
 
Ich versteh das Problem nicht ganz: wenn de Tunnel aufgebaut ist, geht ALLES durch den Tunnel (außer man konfiguriert OpenVPN anders). Ergo ist mir der zusätzliche Aufwand mit der Firewall unverständlich.
 
Das stimmt. Mir geht es daher auch um die Zeit bis die Verbindung steht. Sobald man den Netzwerkstecker einsteckt und man eine IP-Adresse hat, fangen diverse Programme und Dieste gleich an Verbindungen aufzubauen. Das hätte ich gerne unterbunden, denn die sind z.T. unverschlüsselt und senden gleich mal Klartextpasswörter ...
 
Aha!? Und woher hast Du das mit den Klartextpasswörtern? Welche Programme und Dienste sollen das sein?

Was da in erster Linie anspringt, sind diverse Updateprogramme für Antivirensoftware und Windows Update. Und erstens werden dabei (in der Regel) keine Passwörter übertragen und zweitens sind das sowieso meist keine sicherheitskritischen Dinge. Was z.B. im Klartext übertragen wird und daher geschützt gehört, sind gegebenenfalls FTP Server Logindaten und Mailkommunikation. Das hat man aber selbst in der Hand ob da Konversation stattfindet.
 
Ein Beispiel ist ICQ, siehe hier.
Du sagst dass ich Kontrolle über die Dienste habe und ich sie erst starten sollte, wenn das VPN steht. Das stimmt, aber was ist wenn ich den PC in den Ruhezustand versetzt, dann läuft ja noch alles. Oder wenn der VPN-Tunnel mal die Verbindung verliert, ohne dass ich es merke. Oder meine Freundin den PC benutzt und sich damit nicht wirklich auskennt. Und und und...
Über solche Fälle möchte ich mir einfach keine Gedanken machen müssen und daher einfach grunsätzlich keine Kommunikation über den unsicheren Kanal. Dafür ist ja eigentlich eine Firewall da.
 
Hm, ich denke Du machst Dir da zu viele Gedanken, denn da müsste ja immer wenn Du irgendwo surfst jemand lauschen, bzw. sich als "Man-in-the-middle" in Deine WLAN Verbindung drängen.

However ist es m.E. so, dass OpenVPN einen eigenen Netzwerkadapter aufmacht. Die Windows Firewall kann man aber für einzelne Adapter aktivieren oder deaktivieren. Das könntest Du mit dem OpenVPN Adapter machen (deaktivieren), dann muss definitiv alles gehen.

EDIT: Davon abgesehen könnte das o.g. Firefox Problem auch ein DNS Cache Problem sein. Wie man den Cache abschaltet steht hier: http://visualhype.de/firefox-dns-cache-abschalten/
 
Zugegeben - mein Bedarf an Sicherheit ist sicher überdurchschnittlich ;-)
Andererseits ist es ein leichtes, in einem offenen Wlan alle Passworter mitzuschnüffeln.
Ich habe nochmal etwas herumexperimentiert. Hier nochmal mein Setup:
LAN1 (Physikalische Netzwerkverbindung)
Firewallregeln
  • Whitelist-Policy
  • openvpn.exe darf alles
  • Kern-Netzwerkregeln (DNS Etc.) auch erlaubt

LAN2 (TUN/TAP Adapter von OpenVPN)
Firewall abgeschaltet

Traceroute zeigt, dass die Pakete durch den Tunnel gehen. Firefox bekommt keine Verbindung. Jetzt kommt's: Sobald ich Firefox auf Port 80 eine Verbindung auf LAN1 erlaube, funktioniert es. Das finde ich nicht logisch. Wenn Ping durch den Tunnel geht müsste das Firefox doch auch tun. Und dann dürfte sich die Firewall nicht mehr dafür interessieren.
 
Ja, ein Gateway gibts. Weitere Anayse mit Wireshark hat ergeben, dass bei abgeschalteter Firewall und aktiver VPN-Verbindung kein einziges TCP-Paket auf Port 80 über LAN1 geht. Die gehen alle über den Tunnel, so wie es sein soll.
Sobald ich die Firewall aktiviere, geht nurnoch PING durch den Tunnel, das kann man auch im Wireshark sehen. Übers LAN1 gehen während des Pings nur Pakete an den VPN-Server. Versuche ich eine Webseite aufzurufen, sehe ich im Wireshark rein garnix.
Bleibt die Frage: Wieso blockt die Firewall den Traffic?
 
Last edited by a moderator:
Lösung

Ich hab's gelöst!
Aus einem unerklärlichen Grund musste ich noch eine Regel hinzufügen, der von meiner lokalen VPN-IP-Adresse jeglichen Traffic erlaubt. Mein Setup jetzt:

Firewall-Einstellungen für öffentliche Netzwerke
  • Whitelist-Modus
  • Alle Verbindungen zur IP-Adresse es OpenVPN-Servers erlauben
  • Alle Verbindungen ins lokale Subnetz erlauben (falls es z.B. im Hotel eine "Login-Seite" gibt)
  • Alle Verbindungen von der lokalen IP-Adresse des VPN-Adapters aus erlauben (das war mein Problem)
  • Alle Kern-Netzwerkregeln sind aktiv

Firewall für private Netzwerke: unverändert
 
You must log in or register to reply here.
Back
Top