[Gelöst] Geht mein DNS durchs VPN, oder nicht?

Gemeinsam ins Internet mit Firewall und Proxy.
mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 03.04.2018 13:00:48

eggy hat geschrieben: ↑ zum Beitrag ↑
03.04.2018 12:45:02
Die Ausgangsfrage war ja schliesslich
Wie kann ich feststellen, ob meine DNS-Anfragen auch wirklich durch den Tunnel gehen, oder nicht?
und da ist der einfacheste Weg "auf den Draht sehn".
Das sehe ich anders. M. E. ist der einfachste Weg, ein traceroute. Z. B.:

Code: Alles auswählen

mtr -4nr --port 53 --tcp -c 2 -i 2 84.200.69.80

Benutzeravatar
c1ue
Beiträge: 98
Registriert: 27.03.2018 13:13:28

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von c1ue » 05.04.2018 17:00:11

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.04.2018 13:00:48
eggy hat geschrieben: ↑ zum Beitrag ↑
03.04.2018 12:45:02
Die Ausgangsfrage war ja schliesslich
Wie kann ich feststellen, ob meine DNS-Anfragen auch wirklich durch den Tunnel gehen, oder nicht?
und da ist der einfacheste Weg "auf den Draht sehn".
Das sehe ich anders. M. E. ist der einfachste Weg, ein traceroute. Z. B.:

Code: Alles auswählen

mtr -4nr --port 53 --tcp -c 2 -i 2 84.200.69.80
Also ich hab ja in meinem letzten Beitrag bereits die Ergebnisse einmal mit und einmal ohne VPN aufgelistet, beide ohne aktivierten Paketfilter aka firewall. Für mich sehen die routen unterschiedlich aus, bin aber leider nicht fachkundig genug, um das jetzt abschließend zu beurteilen.

Ich wäre Dir/Euch wirklich verbunden, wenn Du/Ihr mal die logs anschauen könnte(s)t, die ich in meinem vorangehenden Beitrag aufgelistet habe.
Wir erleben gerade die letzte Ruhe vor dem Sturm. Genießen wir sie, solange es noch geht

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 05.04.2018 18:27:19

c1ue hat geschrieben: ↑ zum Beitrag ↑
05.04.2018 17:00:11
Ich wäre Dir/Euch wirklich verbunden, wenn Du/Ihr mal die logs anschauen könnte(s)t, die ich in meinem vorangehenden Beitrag aufgelistet habe.
Mit deinen Logs kann ich nichts anfangen. Poste, unter genauer Beschreibung der Bedingungen, die Ausgaben von:

Code: Alles auswählen

mtr -4nr --port 53 --tcp -c 2 -i 2 84.200.69.80
(oder gleichwertig), evtl. brauchbar anonymisiert.

DeletedUserReAsG

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von DeletedUserReAsG » 05.04.2018 18:49:14

Wenn die Frage ist, ob die Namensauflösung sicher durch den Tunnel geht, ist traceroute vielleicht das falsche Werkzeug, und man sollte doch eher mit etwa wireshark oder tcpdump schauen, was der tatsächliche Client macht. Nutzt irgendwie auch wenig, wenn bei traceroute alles prima aussieht, der jeweilige DNS-Client sich aber für ’ne andere Route entscheidet.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 05.04.2018 19:29:04

niemand hat geschrieben: ↑ zum Beitrag ↑
05.04.2018 18:49:14
..., ..., der jeweilige DNS-Client sich aber für ’ne andere Route entscheidet.
Wenn mehrere mögliche Routen zur Verfügung stehen bzw. konfiguriert sind, muss mit Hilfe der Metric konfiguriert werden, welche Route als 1. genommen/probiert wird. Ein traceroute wird die Metric der Routen genau so berücksichtigen wie der jeweilige DNS-Client auch.
An zusätzlichem/parallelem sniffen mit tcpdump, soll es nicht scheitern:

Code: Alles auswählen

tcpdump -c 10 -vvveni tun0 dst port 53
, ... aber mit durcheinander geposteten Logs & Co. kommen wir nicht weiter.

BenutzerGa4gooPh

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von BenutzerGa4gooPh » 05.04.2018 19:37:33

Sollte alles funktionieren:

Mit tcpdump müsste man mit einer Büchse zwischen Router und Client oder auf dem Router testen. Mit VPN alle Pakete einschließlich DNS verschlüsselt. Nur ohne VPN Inhalte sichtbar. Hatte @eggy beschrieben.

"Port-Trageroute" von @mat6937 muss mit VPN über den VPN-Gateway des VPN-Providers laufen. Ohne nicht. Bin auf die Ausgaben des TO schon gespannt.

Weitere Ideen:

Code: Alles auswählen

dig www.debian.org
auf Client sollte mit und ohne VPN nach Löschen des lokalen DNS-Caches (*) unterschiedliche angefragte DNS-Server bringen. Ohne löschen und bei Mehrfachaufruf dürfte 127.0.0.1 erscheinen. Löschen kann man sich sparen, wenn man im dig-Kommando jedesmal neue (WWW-) Server auflösen lässt. Cache so wirkungslos.
;; Query time: 2046 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Aug 27 08:22:26 2004
;; MSG SIZE rcvd: 173
The final section of the default output contains statistics about the query; it can be toggled with the +[no]stats option.
https://www.madboa.com/geek/dig/#unders ... ult-output

Vielleicht auch damit testen: https://www.dnsleaktest.com


Edit: (*) DNS-Cache leeren durch

Code: Alles auswählen

systemctl restart dnsmasq.service 
Zuletzt geändert von BenutzerGa4gooPh am 05.04.2018 19:58:04, insgesamt 1-mal geändert.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 05.04.2018 19:55:04

Jana66 hat geschrieben: ↑ zum Beitrag ↑
05.04.2018 19:37:33
Mit tcpdump müsste man mit einer Büchse zwischen Router und Client oder auf dem Router testen.
Warum? Mit tcpdump kann man doch auch auf dem Client testen. Wenn der Traffic zum destination-Port 53 durch das tun0-Interface des Clienten geht, dann wird der VPN-Tunnel doch benutzt.

BenutzerGa4gooPh

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von BenutzerGa4gooPh » 05.04.2018 19:56:55

Okay, ich hätte die (DNS-) Verschlüsselung gern als Ergebnis gesehen.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 05.04.2018 20:04:37

Jana66 hat geschrieben: ↑ zum Beitrag ↑
05.04.2018 19:56:55
Okay, ich hätte die (DNS-) Verschlüsselung gern als Ergebnis gesehen.
Ok, aber das war nicht die Frage des TO. Er will wissen ob sein DNS durch den VPN-Tunnel geht oder nicht geht.

BTW: Was meinst Du mit DNS-Verschlüsselung? Es wäre doch schlimm wenn jemand zwischen VPN-Client und VPN-Server, den verschlüsselten VPN-Traffic einsehen könnte.

VPN wird beim TO schon verschlüsselt sein, aber wenn man will kann man einen VPN-Tunnel auch ohne Verschlüsselung, aufbauen.

BenutzerGa4gooPh

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von BenutzerGa4gooPh » 05.04.2018 20:56:43

mat6937 hat geschrieben: ↑ zum Beitrag ↑
05.04.2018 20:04:37
Er will wissen ob sein DNS durch den VPN-Tunnel geht oder nicht geht. ... Was meinst Du mit DNS-Verschlüsselung?
Traffic eines DNS-Leaks (ausserhalb VPN-Tunnel) dürfte nicht verschlüsselt sein. Das zu prüfen ist m. E. Anliegen des TO. Aber deine vorgeschlagene Methode "Port-Traceroute" (mit VPN über VPN-Provider-GW) funktioniert sicher auch.

Benutzeravatar
c1ue
Beiträge: 98
Registriert: 27.03.2018 13:13:28

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von c1ue » 07.04.2018 17:49:00

Hui, ich bin überwältigt von Eurer großen Hilfsbereitschaft! Danke dafür :THX:

Hier nun meine Ergebnisse, einmal mit VPN und einmal ohne VPN, beide Ausgaben entstanden ohne firewall:

Hier mit VPN:

mtr -4nr --port 53 --tcp -c 2 -i 2 84.200.69.80

Code: Alles auswählen

HOST: xxxxx                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 10.4.83.1                  0.0%     2   32.3  32.5  32.3  32.7   0.0
  2.|-- 5.79.98.61                 0.0%     2   32.9  32.9  32.9  33.0   0.0
  3.|-- 81.17.33.124               0.0%     2   33.0  32.8  32.6  33.0   0.0
  4.|-- 46.33.78.24                0.0%     2   33.8  33.6  33.3  33.8   0.0
  5.|-- 89.149.128.246             0.0%     2   39.5  39.6  39.5  39.8   0.0
  6.|-- 46.33.93.146               0.0%     2   62.4  71.9  62.4  81.5  13.5
  7.|-- 84.200.230.22              0.0%     2   53.0  65.6  53.0  78.2  17.7
  8.|-- 84.200.69.80               0.0%     2  451.9 427.0 402.0 451.9  35.3
Hier ohne VPN:

mtr -4nr --port 53 --tcp -c 2 -i 2 84.200.69.80

Code: Alles auswählen

HOST: xxxxxx                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.178.1              0.0%     2    0.6   0.6   0.6   0.7   0.0
  2.|-- 62.52.201.198              0.0%     2   22.3  20.5  18.7  22.3   2.4
  3.|-- 62.53.1.234                0.0%     2   18.7  18.8  18.7  18.9   0.0
  4.|-- 62.53.0.56                 0.0%     2   25.6  25.4  25.2  25.6   0.0
  5.|-- 62.53.0.49                 0.0%     2   25.2  25.3  25.2  25.4   0.0
  6.|-- 62.53.26.4                 0.0%     2   25.6  25.5  25.4  25.6   0.0
  7.|-- 62.53.2.59                 0.0%     2   25.3  25.4  25.3  25.5   0.0
  8.|-- 80.81.194.50               0.0%     2   25.4  25.3  25.2  25.4   0.0
  9.|-- 84.200.230.81              0.0%     2   26.0  25.9  25.9  26.0   0.0
 10.|-- 84.200.69.80               0.0%     2  200.1 301.1 200.1 402.0 142.7
dig www.debian.org mit VPN:

Code: Alles auswählen

../../../../lib/isc/unix/net.c:581: sendmsg() failed: Operation not permitted

; <<>> DiG 9.10.3-P4-Debian <<>> www.debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7850
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.debian.org.                        IN      A

;; ANSWER SECTION:
www.debian.org.         83      IN      A       5.153.231.4
www.debian.org.         83      IN      A       130.89.148.14

;; AUTHORITY SECTION:
www.debian.org.         26720   IN      NS      geo3.debian.org.
www.debian.org.         26720   IN      NS      geo2.debian.org.
www.debian.org.         26720   IN      NS      geo1.debian.org.

;; Query time: 54 msec
;; SERVER: 84.200.69.80#53(84.200.69.80)
;; WHEN:  xxxxxxxxx CEST 2018
;; MSG SIZE  rcvd: 132

Und dig www.debian.org ohne VPN:

Code: Alles auswählen

../../../../lib/isc/unix/net.c:581: sendmsg() failed: Operation not permitted

; <<>> DiG 9.10.3-P4-Debian <<>> www.debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56143
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.debian.org.                        IN      A

;; ANSWER SECTION:
www.debian.org.         184     IN      A       5.153.231.4
www.debian.org.         184     IN      A       130.89.148.14

;; AUTHORITY SECTION:
www.debian.org.         26821   IN      NS      geo3.debian.org.
www.debian.org.         26821   IN      NS      geo2.debian.org.
www.debian.org.         26821   IN      NS      geo1.debian.org.

;; Query time: 25 msec
;; SERVER: 84.200.69.80#53(84.200.69.80)
;; WHEN: xxxxx xxxxxxx CEST 2018
;; MSG SIZE  rcvd: 132
Wir erleben gerade die letzte Ruhe vor dem Sturm. Genießen wir sie, solange es noch geht

BenutzerGa4gooPh

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von BenutzerGa4gooPh » 07.04.2018 18:29:13

Das "dig" ist nicht aussagekräftig (2 x gleicher DNS). War von einem DHCP-Client ausgegangen (anzufragender DNS jeweils von Provider gelernt, mit und ohne VPN unterschiedlich erwartet). Du hast den DNS-Server wahrscheinlich fest eingetragen (84.200.69.80).

Das "mtr" sieht m. E. gut (unterschiedlich) aus, soll @mat6937 mehr sagen, seine gute Idee. (In der Route mit VPN solltest du deinen VPN-Provider / dessen IPs erkennen, in der ohne VPN nicht.)

Tipp: Google mal nach "linux route all traffic through vpn" sowie "linux vpn killswitch"! :wink:

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 07.04.2018 22:27:03

Jana66 hat geschrieben: ↑ zum Beitrag ↑
07.04.2018 18:29:13
Das "mtr" sieht m. E. gut (unterschiedlich) aus, ...
Ja, die IP-Adressen der einzelnen hops (beim traceroute/mtr mit VPN) zeigen, dass der VPN-Tunnel für den Zugang zum DNS-Server genutzt wird. Weiteres kann man mit DNS-/Namensauflösung-Konfiguration, Routing, Firewall, etc. optimieren.

BenutzerGa4gooPh

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von BenutzerGa4gooPh » 08.04.2018 11:32:19

@TO:
Ich möchte noch anmerken, dass ein erfolgreicher kurzer Versuch die Funktionalität nicht in jedem Falle bestätigen kann. Eine Zwangsroute auf das Tunnelinterface für jede Art von Traffic (Default-Route) wäre m. E. hilfreich. Siehe meinen vorigen Beitrag.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von eggy » 09.04.2018 07:58:41

@mat6937 :
Das sagt nur, dass mtr - für den in diesem Fall angesprochenen DNS-Server - durch den Tunnel geht, andere Programme / andere angefragte Server könnten woanders langlaufen, durch Routen, die nicht durch den Tunnel gehen. Ich bleib dabei: Routen ansehn und vorallem mal extern draufschauen.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von mat6937 » 09.04.2018 09:05:20

eggy hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 07:58:41
@mat6937 :
Das sagt nur, dass mtr - für den in diesem Fall angesprochenen DNS-Server - durch den Tunnel geht, ...
Ja, aber das war doch die Frage des TO:
Geht mein DNS durchs VPN, oder nicht?
eggy hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 07:58:41
... andere Programme / andere angefragte Server könnten woanders langlaufen, durch Routen, die nicht durch den Tunnel gehen.
Evtl. interessieren den TO diese anderen Programme/Server, bzgl. Routing (... d. h. duch den VPN-Tunnel oder nicht durch den VPN-Tunnel) gar nicht. Du kannst den TO ja fragen und ihm bei Bedarf, evtl. konkrete Hilfe anbieten.

Benutzeravatar
c1ue
Beiträge: 98
Registriert: 27.03.2018 13:13:28

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von c1ue » 02.05.2018 19:25:21

mat6937 hat geschrieben:
eggy hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 07:58:41
... andere Programme / andere angefragte Server könnten woanders langlaufen, durch Routen, die nicht durch den Tunnel gehen.
Evtl. interessieren den TO diese anderen Programme/Server, bzgl. Routing (... d. h. duch den VPN-Tunnel oder nicht durch den VPN-Tunnel) gar nicht. Du kannst den TO ja fragen und ihm bei Bedarf, evtl. konkrete Hilfe anbieten.
Also ich hab das Thema vorläufig als "gelöst" markiert, da ja meine Ausgangsfrage von Euch vollständig beantwortet worden ist. Nochmals vielen Dank dafür. :THX:

Allerdings würden mich schon die von mat6937 genannten Programme/Server, die am Tunnel vorbeilaufen könnten, interessieren. Ich hatte nämlich das Prinzip von VPN bisher so verstanden, dass einfach ALLES, was meine Netzwerkkarte verlässt, durch den Tunnel läuft, nachdem dieser aufgebaut worden ist.
Stimmt das etwa nicht?

Und dann hätte ich noch eine weitere Frage: Wie könnte ich ein vernünftiges Paketfilterskript erstellen, welches nur Traffic bei aktivem VPN erlaubt. Ich hab dazu schon was im Netz gefunden, bin aber in einigen Punkten noch nicht ganz zufrieden.
Aber ich denke, dazu sollte ich nochmal ein eigenständiges Thema erstellen.
Wir erleben gerade die letzte Ruhe vor dem Sturm. Genießen wir sie, solange es noch geht

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Geht mein DNS durchs VPN, oder nicht?

Beitrag von MSfree » 02.05.2018 20:14:50

c1ue hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 19:25:21
Ich hatte nämlich das Prinzip von VPN bisher so verstanden, dass einfach ALLES, was meine Netzwerkkarte verlässt, durch den Tunnel läuft, nachdem dieser aufgebaut worden ist.
Stimmt das etwa nicht?
Nein, das stimmt natürlich nicht.

VPN-Software stellt dem Betriebssystem eine virtuelle Netzwerkkarte zur Verfügung. Natürlich kann man eine sogenannten Defaultroute so setzen, daß alles durch diese virtuelle Netzwerkkarte und somit durch den Tunnel geschleust wird. Das ist jedoch bei weitem nicht immer sinnvoll und auch beliebig anders konfigurierbar.

Wenn man z.B. zwei Firmenstandorte vernetzen will, nimmt man VPN, um nur einen Tunnel zwischen den beiden Firmen-LANs zu etablieren. Wenn jemand im ersten Firmen-LAN auf einen Fileserver in zweiten Firmen-LAN zugreifen will, leitet man das durch den Tunnel, um das Abhören der Leitung zu erschweren, um so z.B. Betriebsgeheimnisse zu schützen. Will ein Mitarbeiter aber z.B. ein Bundesbahnticket buchen, leitet man diesen Netzwerkverkehr einfach am VPN vorbei direkt ins Internet.

Antworten