Also..
Weil das alles relativ kompliziert ist, ein langer post von mir:
Erstmal grundlegend was der Windows client überhaupt macht.
A) Er setzt die default connection option auf blocking, für alle Netze, also public, private und domain.
Das könnt ihr in dem Windows Firewall "Erweiterte Einstellungen" Fenster sehen. Diesem:
http://thewindowsclub.thewindowsclu...ent/uploads/2009/04/win7advanced-firewall.jpg
B) Er deaktiviert alle ausgehenden Firewall Regeln, die Traffic Richtung Internet am VPN vorbei erlauben würden.
C) Er setzt selber ein paar Firewall Regeln, deren Namen fangen alle mit "Perfect Privacy" an und die könnt ihr euch einfach anschauen.
Sonst macht der Client nichts, d.h. wenn es irgendwas nicht tut, oder zu viel oder zu wenig blockiert wurde, dann könnt ihr das in den Windows Firewall Einstellungen nachschauen wieso das so ist. Da passiert nichts verstecktes oder so. Der Client macht programmatisch nur Dinge, die ihr auch per klicken konfigurieren könntet.
Dann zu den einzelnen Problemen:
Szenario 1: Ungefragtes Nach-Hause-Telefonieren
Bsp: Ich installiere versehentlich das (Unter-)Programm XY, was ungefragt nach Hause telefoniert.
Ohne PP bin ich im Privaten Netzwerk der Windows Firewall. WFC meldet, dass XY nach Konfiguration (*) geblockt wurde und fragt was zu tun ist. Ich klicke "Immer Blocken" - fertig
Mit PP bin ich nur von der PP-Firewall geschützt. WFC meldet nichts, weil PP das Programm durchlässt, denn PP beachtet obige Konfiguration der Windows-Firewall (*) nicht ! Nur Programme die in der Windows-Firewall ausdrücklich auf "geblockt" stehen, werden geblockt.
Workaround: Ich muss nach Installationen eine Zeitlang ohne PP online gehen, bis mit WFC alles abgearbeitet ist was hochkommt. Nicht gut.
Ok, WFC rafft das VPN nicht.
"...PP das Programm durchlässt.." -> PP lässt gar nix durch, siehe oben was der Client genau macht. Kannst du präzisieren aufgrund welcher der Firewalleinstellungen du denkst das das nicht funktioniert?
Szenario 2: Drucken im Netzwerk
Geht nicht mit PP, weil PP den Fritzbox-USB-Fernanschluss blockt. Damit haben sich die Optionen "Firewall bei Programmstart aktivieren" und "Firewall dauerhaft aktivieren" erledigt, denn zum Drucken muss ich die PP-Firewall beenden können. Womit sich geschütztes Surfen "nebenbei" auch erledigt hat.
Vermutlich versucht der Fritzbox-USB-Fernanschluss die Cloud, aka das Internet, zu erreichen. Das wird natürlich blockiert wenn es nicht über VPN geht. Da kann man auch nix dran ändern, sonst würde man ja seine REAL IP leaken.
Szenario 3: Blocken von Systemtasks
Jetzt wird's richtig nervig. PP blockt die Tasks svhost, dashost und "NT Kernel & System" - Das ist nach Lars ein Feature, sicher gut begründet und sinnvoll. ABER: Die WFC meldet das Blocken rund 3x pro Minute per Requester.
Ok WFC ist kacke, was soll ich da machen? Ich kann ja jetzt nicht DNS erlauben, nur weil du von den Meldungen von irgend einem Programm genervt bist.
Idee: Die drei Tasks in der Windows-Firewall im Öffentlichen Netz (wo PP ist) blocken. Nützt nichts! PP beachtet gerade bei diesen Tasks die Einstellung der windows-Firewall nicht, selbst wenn es eine Block-Rule ist. traut man dem User nicht?
LOL, ne, auf gar keinen Fall trauen wir dem user, nichtmal so weit wie ich ihn werfen könnte ;D
Ne aber ernsthaft, 99 % der user haben keinen Plan (jetzt mal abgesehen von den paar hier im Forum), und/oder einen verfriemelten Computer. Da macht es schon Sinn sich NICHT da drauf zu verlassen und einfach sichere Firewallregeln zu setzen.
Wer meint er hat alles im Griff und wer selber seine Firewall konfigurieren möchte oder spezial Krams will, der kann sich das auch selber konfigurieren und braucht die automatischen Firewall Einstellungen vom Client nicht.
Und: Im Bezug da drauf was der Client wirklich macht (siehe oben), was bedeutet: "PP beachtet gerade bei diesen Tasks die Einstellung der windows-Firewall nicht" ?
Bei mir hat Perfect Privacy mit der Windows Firewall und Verbindungen einzelner Programme/Dateien sperren nie funktioniert.
Wie auch
@Nytro87 kann ich das nicht nachvollziehen. Du erstellst ein Firewall Regel ,outgoing, sagst Programm xy blocken, und es kommt trotzdem ins Internet? Halte ich erstmal für ein Gerücht. Windows priorisiert block vor allow, also eine blocking Regel wird von nichts überschrieben was der Client macht. (was der client genau macht: siehe oben)
können bspw. mit Comodo Firewall konfiguriert werden
Wenn du Firewalling über eine Externe Firewall macht, hast du praktisch garantiert ein IP leak.
Z.b. Setzt der Client eine relativ komplizierte Regel die aussagt: "Blockiere alles von 'Internet' zu 'NICHT die internen VPN IP'" Dafür muss die Firewall Regel vom Client die interne VPN IP wissen. Macht man das nicht, ist man mindestens anfällig für das hier:
https://www.perfect-privacy.com/blog/2015/12/21/wrong-way-security-problem-exposes-real-ip/
Ausserdem gibts ein Regel die sagt: "erlaube connections zu den IPs der VPN server". Dafür muss die Firewall die IPs der VPN Server kennen. Macht man das nicht, kann man z.b. bei IPSEC kein leak verhindern, weil man bei IPSEC im Gegensatz zu OpenVPN nicht einfach nur die .exe erlauben kann.
Und noch was: Könnt ihr beiden (
@deltay,
@Wcon) mal in eure Firewall Einstellungen schauen ob da sowas steht wie "Ihre Firewall wird durch ein Drittanbieter Programm verwaltet?"
https://community.norton.com/en/system/files/u2114233/20160617134137.png
Das passiert nämlich wenn man Comodo/Kaspersky/Norton oder so einen Mist installiert. Dann kann man Windows Firewall Regel mässig machen was man will, die können das dann einfach überschreiben. Das ist aber meistens relativ dumm, weil die Programm ja nichts davon wissen das man ein IP leak verhindern will und dann dinge erlauben, die man nicht erlauben möchte.
Grüße
Lars