[Gelöst] Geht mein DNS durchs VPN, oder nicht?

Gemeinsam ins Internet mit Firewall und Proxy.
Benutzeravatar
c1ue
Beiträge: 98
Registriert: 27.03.2018 13:13:28

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von c1ue » 07.04.2018 17:49:00

Hui, ich bin überwältigt von Eurer großen Hilfsbereitschaft! Danke dafür :THX:

Hier nun meine Ergebnisse, einmal mit VPN und einmal ohne VPN, beide Ausgaben entstanden ohne firewall:

Hier mit VPN:

mtr -4nr --port 53 --tcp -c 2 -i 2 84.200.69.80

Code: Alles auswählen

HOST: xxxxx                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 10.4.83.1                  0.0%     2   32.3  32.5  32.3  32.7   0.0
  2.|-- 5.79.98.61                 0.0%     2   32.9  32.9  32.9  33.0   0.0
  3.|-- 81.17.33.124               0.0%     2   33.0  32.8  32.6  33.0   0.0
  4.|-- 46.33.78.24                0.0%     2   33.8  33.6  33.3  33.8   0.0
  5.|-- 89.149.128.246             0.0%     2   39.5  39.6  39.5  39.8   0.0
  6.|-- 46.33.93.146               0.0%     2   62.4  71.9  62.4  81.5  13.5
  7.|-- 84.200.230.22              0.0%     2   53.0  65.6  53.0  78.2  17.7
  8.|-- 84.200.69.80               0.0%     2  451.9 427.0 402.0 451.9  35.3
Hier ohne VPN:

mtr -4nr --port 53 --tcp -c 2 -i 2 84.200.69.80

Code: Alles auswählen

HOST: xxxxxx                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.178.1              0.0%     2    0.6   0.6   0.6   0.7   0.0
  2.|-- 62.52.201.198              0.0%     2   22.3  20.5  18.7  22.3   2.4
  3.|-- 62.53.1.234                0.0%     2   18.7  18.8  18.7  18.9   0.0
  4.|-- 62.53.0.56                 0.0%     2   25.6  25.4  25.2  25.6   0.0
  5.|-- 62.53.0.49                 0.0%     2   25.2  25.3  25.2  25.4   0.0
  6.|-- 62.53.26.4                 0.0%     2   25.6  25.5  25.4  25.6   0.0
  7.|-- 62.53.2.59                 0.0%     2   25.3  25.4  25.3  25.5   0.0
  8.|-- 80.81.194.50               0.0%     2   25.4  25.3  25.2  25.4   0.0
  9.|-- 84.200.230.81              0.0%     2   26.0  25.9  25.9  26.0   0.0
 10.|-- 84.200.69.80               0.0%     2  200.1 301.1 200.1 402.0 142.7
dig www.debian.org mit VPN:

Code: Alles auswählen

../../../../lib/isc/unix/net.c:581: sendmsg() failed: Operation not permitted

; <<>> DiG 9.10.3-P4-Debian <<>> www.debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7850
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.debian.org.                        IN      A

;; ANSWER SECTION:
www.debian.org.         83      IN      A       5.153.231.4
www.debian.org.         83      IN      A       130.89.148.14

;; AUTHORITY SECTION:
www.debian.org.         26720   IN      NS      geo3.debian.org.
www.debian.org.         26720   IN      NS      geo2.debian.org.
www.debian.org.         26720   IN      NS      geo1.debian.org.

;; Query time: 54 msec
;; SERVER: 84.200.69.80#53(84.200.69.80)
;; WHEN:  xxxxxxxxx CEST 2018
;; MSG SIZE  rcvd: 132

Und dig www.debian.org ohne VPN:

Code: Alles auswählen

../../../../lib/isc/unix/net.c:581: sendmsg() failed: Operation not permitted

; <<>> DiG 9.10.3-P4-Debian <<>> www.debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56143
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.debian.org.                        IN      A

;; ANSWER SECTION:
www.debian.org.         184     IN      A       5.153.231.4
www.debian.org.         184     IN      A       130.89.148.14

;; AUTHORITY SECTION:
www.debian.org.         26821   IN      NS      geo3.debian.org.
www.debian.org.         26821   IN      NS      geo2.debian.org.
www.debian.org.         26821   IN      NS      geo1.debian.org.

;; Query time: 25 msec
;; SERVER: 84.200.69.80#53(84.200.69.80)
;; WHEN: xxxxx xxxxxxx CEST 2018
;; MSG SIZE  rcvd: 132
Wir erleben gerade die letzte Ruhe vor dem Sturm. Genießen wir sie, solange es noch geht

BenutzerGa4gooPh

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von BenutzerGa4gooPh » 07.04.2018 18:29:13

Das "dig" ist nicht aussagekräftig (2 x gleicher DNS). War von einem DHCP-Client ausgegangen (anzufragender DNS jeweils von Provider gelernt, mit und ohne VPN unterschiedlich erwartet). Du hast den DNS-Server wahrscheinlich fest eingetragen (84.200.69.80).

Das "mtr" sieht m. E. gut (unterschiedlich) aus, soll @mat6937 mehr sagen, seine gute Idee. (In der Route mit VPN solltest du deinen VPN-Provider / dessen IPs erkennen, in der ohne VPN nicht.)

Tipp: Google mal nach "linux route all traffic through vpn" sowie "linux vpn killswitch"! :wink:

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 07.04.2018 22:27:03

Jana66 hat geschrieben: ↑ zum Beitrag ↑
07.04.2018 18:29:13
Das "mtr" sieht m. E. gut (unterschiedlich) aus, ...
Ja, die IP-Adressen der einzelnen hops (beim traceroute/mtr mit VPN) zeigen, dass der VPN-Tunnel für den Zugang zum DNS-Server genutzt wird. Weiteres kann man mit DNS-/Namensauflösung-Konfiguration, Routing, Firewall, etc. optimieren.

BenutzerGa4gooPh

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von BenutzerGa4gooPh » 08.04.2018 11:32:19

@TO:
Ich möchte noch anmerken, dass ein erfolgreicher kurzer Versuch die Funktionalität nicht in jedem Falle bestätigen kann. Eine Zwangsroute auf das Tunnelinterface für jede Art von Traffic (Default-Route) wäre m. E. hilfreich. Siehe meinen vorigen Beitrag.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von eggy » 09.04.2018 07:58:41

@mat6937 :
Das sagt nur, dass mtr - für den in diesem Fall angesprochenen DNS-Server - durch den Tunnel geht, andere Programme / andere angefragte Server könnten woanders langlaufen, durch Routen, die nicht durch den Tunnel gehen. Ich bleib dabei: Routen ansehn und vorallem mal extern draufschauen.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 09.04.2018 09:05:20

eggy hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 07:58:41
@mat6937 :
Das sagt nur, dass mtr - für den in diesem Fall angesprochenen DNS-Server - durch den Tunnel geht, ...
Ja, aber das war doch die Frage des TO:
Geht mein DNS durchs VPN, oder nicht?
eggy hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 07:58:41
... andere Programme / andere angefragte Server könnten woanders langlaufen, durch Routen, die nicht durch den Tunnel gehen.
Evtl. interessieren den TO diese anderen Programme/Server, bzgl. Routing (... d. h. duch den VPN-Tunnel oder nicht durch den VPN-Tunnel) gar nicht. Du kannst den TO ja fragen und ihm bei Bedarf, evtl. konkrete Hilfe anbieten.

Benutzeravatar
c1ue
Beiträge: 98
Registriert: 27.03.2018 13:13:28

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von c1ue » 02.05.2018 19:25:21

mat6937 hat geschrieben:
eggy hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 07:58:41
... andere Programme / andere angefragte Server könnten woanders langlaufen, durch Routen, die nicht durch den Tunnel gehen.
Evtl. interessieren den TO diese anderen Programme/Server, bzgl. Routing (... d. h. duch den VPN-Tunnel oder nicht durch den VPN-Tunnel) gar nicht. Du kannst den TO ja fragen und ihm bei Bedarf, evtl. konkrete Hilfe anbieten.
Also ich hab das Thema vorläufig als "gelöst" markiert, da ja meine Ausgangsfrage von Euch vollständig beantwortet worden ist. Nochmals vielen Dank dafür. :THX:

Allerdings würden mich schon die von mat6937 genannten Programme/Server, die am Tunnel vorbeilaufen könnten, interessieren. Ich hatte nämlich das Prinzip von VPN bisher so verstanden, dass einfach ALLES, was meine Netzwerkkarte verlässt, durch den Tunnel läuft, nachdem dieser aufgebaut worden ist.
Stimmt das etwa nicht?

Und dann hätte ich noch eine weitere Frage: Wie könnte ich ein vernünftiges Paketfilterskript erstellen, welches nur Traffic bei aktivem VPN erlaubt. Ich hab dazu schon was im Netz gefunden, bin aber in einigen Punkten noch nicht ganz zufrieden.
Aber ich denke, dazu sollte ich nochmal ein eigenständiges Thema erstellen.
Wir erleben gerade die letzte Ruhe vor dem Sturm. Genießen wir sie, solange es noch geht

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von MSfree » 02.05.2018 20:14:50

c1ue hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 19:25:21
Ich hatte nämlich das Prinzip von VPN bisher so verstanden, dass einfach ALLES, was meine Netzwerkkarte verlässt, durch den Tunnel läuft, nachdem dieser aufgebaut worden ist.
Stimmt das etwa nicht?
Nein, das stimmt natürlich nicht.

VPN-Software stellt dem Betriebssystem eine virtuelle Netzwerkkarte zur Verfügung. Natürlich kann man eine sogenannten Defaultroute so setzen, daß alles durch diese virtuelle Netzwerkkarte und somit durch den Tunnel geschleust wird. Das ist jedoch bei weitem nicht immer sinnvoll und auch beliebig anders konfigurierbar.

Wenn man z.B. zwei Firmenstandorte vernetzen will, nimmt man VPN, um nur einen Tunnel zwischen den beiden Firmen-LANs zu etablieren. Wenn jemand im ersten Firmen-LAN auf einen Fileserver in zweiten Firmen-LAN zugreifen will, leitet man das durch den Tunnel, um das Abhören der Leitung zu erschweren, um so z.B. Betriebsgeheimnisse zu schützen. Will ein Mitarbeiter aber z.B. ein Bundesbahnticket buchen, leitet man diesen Netzwerkverkehr einfach am VPN vorbei direkt ins Internet.

Antworten