VPN Kill Switch

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
blademaster177
Beiträge: 4
Registriert: 23.12.2016 13:11:29

VPN Kill Switch

Beitrag von blademaster177 » 28.12.2016 21:48:39

Hi, wenn ein Abbruch der VPN Verbindung eintritt, wie kann man dann ein Leak verhindern? Unter Windows gibt es ja zahlreiche Programme die das übernehmen können (vpnnetmon z.b.) oder der vom VPN-Anbieter bereitgestellte Client. Aber wie am besten bei Debian? Hab openvpn drauf.

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: VPN Kill Switch

Beitrag von heisenberg » 28.12.2016 23:10:14

Was meinst Du mit Leck?

Ich gehe mal davon aus, dass Du möchtest, dass die VPN-Verbindung nach einer Trennung automatisch wieder neu gestartet werden soll.

Die primäre Diensteverwaltung bei der aktuellen Debianversion heisst systemctl. Das automatische neustarten vom VPN-Dienst ist vorgesehen und braucht nur für Deine jeweiligen VPNs aktiviert werden.

Das geht so:
  1. Eine Konfiguration anlegen z. B. /etc/openvpn/meins.conf
  2. Den Dienst aktivieren mit systemctl enable openvpn@meins.service
  3. Den Dienst starten mit systemctl start openvpn@meins.service
Das wars.

Jetzt kannst Du noch schauen, ob dieser OpenVPN auch wirklich läuft und ggf. Protokollmeldungen dazu anschauen mit:

Code: Alles auswählen

systemctl status openvpn@meins.service
...und was hat es denn mit diesem "Kill-Switch" auf sich, der im Betreff des Beitrages steht?
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

blademaster177
Beiträge: 4
Registriert: 23.12.2016 13:11:29

Re: VPN Kill Switch

Beitrag von blademaster177 » 29.12.2016 11:23:25

Ok mein Fehler, hab mich nicht präzise genug ausgedrückt. :D
Ich meinte das so: wenn ich mit dem VPN verbunden bin und plötzlich die VPN Verbindung abbricht (warum auch immer) dann wäre ich ja "nackig".
Ich würde in dem Moment ja mit meiner realen IP surfen oder Programme kommunizieren mit der echten IP im Internet.

Für solch einen Fall hätte ich gern eine Art "Kill Switch" der das verhindert! Mit der ufw Firewall könnte man das wohl realisieren oder gibt noch ne bessere Lösung?

Gruß blademaster177

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: VPN Kill Switch

Beitrag von MSfree » 29.12.2016 11:51:11

blademaster177 hat geschrieben:Ich würde in dem Moment ja mit meiner realen IP surfen oder Programme kommunizieren mit der echten IP im Internet.
VPN ist keine Anonymisierung. Ob du mit deiner "realen" IP-Adresse surfst oder mit der IP-Adresse des VPN-Endpunkts, ist egal. Wenn nötig, bist du zurück verfolgbar.

FragDenPinguin
Beiträge: 34
Registriert: 06.01.2017 05:41:47

Re: VPN Kill Switch

Beitrag von FragDenPinguin » 06.01.2017 06:17:43

Du möchtest also, dass jeglicher (ausgehender) Traffic deines Rechners ausschließlich übers VPN geht? Ich habe das auf meinem Rechner mit iptables gelöst. Nämlich so:

Code: Alles auswählen

iptables -A OUTPUT -d (ip_des_vpn_servers) -p udp --dport 20000 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -j DROP
Die erste Zeile erlaubt dem Rechner, sich mit dem VPN-Server übers herkömmliche Interface auf dem UDP-Port 20000 zu verbinden.
Die zweite Zeile erlaubt alle Pakete, die über den VPN-Tunnel (das Output-Interface tun0) gehen.
Die dritte Zeile verwirfte alle übrigen Pakete, die über OUTPUT gehen.

Das Tunnel-Interface tun0 kann bei dir natürlich anders heißen.

Code: Alles auswählen

 iptables-save > iptables.rules
speichert die angelegten Regeln dann und kann über

Code: Alles auswählen

 iptables-restore < iptables.rules
wieder eingelesen werden.

Dabei bin ich von einer leeren Regelliste für OUTPUT und ausgeschaltetem Forwarding ausgegangen, wenn iptables noch anderweitig genutzt wird, müssen die Regeln halt passend eingebaut oder modifiziert werden.

FragDenPinguin
Beiträge: 34
Registriert: 06.01.2017 05:41:47

Re: VPN Kill Switch

Beitrag von FragDenPinguin » 06.01.2017 06:36:08

Interessant ist in diesem Zusammenhang auch noch der IPv6-Traffic. Der lässt sich über ip6tables kontrollieren. Z.B. so:

Code: Alles auswählen

 ip6tables -P OUTPUT DROP 
.

Wenn sowieso nur IPv4 genutzt wird, kann er abgeschaltet werden.

Antworten