Beantwortet: DNS Anfragen werden nicht über VPN geroutet

asg34g444

Junior Member
Hallo,
ich habe ein Win10 System in einer virtuellen Maschine (VM). In der VM läuft der PP-VPN Manager. DNS Leak Tests zeigen die Google DNS-Server.
Wenn ich nun den Traffic der VM mit Wireshark mitschneide (Wireshark läuft auf dem Host-System), sehe ich alle DNS-Anfragen der VM unverschlüsselt, obwohl der sonstige Traffic über VPN geroutet wird.
Warum werden die DNS-Anfragen am VPN "vorbei" geroutet? So könnte mein ISP ja sehen, auf welchen Seiten ich unterwegs bin (durch die DNS-Anfragen).
 
Solution
Sowieso sollte euer DNS-Leak-Test um eine Funktionalität erweitert werden, um anzuzeigen, von welcher IP die DNS-Anfrage kommt. Bringt nichts wenn dort zwar Google-DNS steht, der Request läuft aber am VPN vorbei. Der ISP kann trotzdem mitlesen, welche Seiten ich besuche.

Es läuft nichts am VPN vorbei, frage mich wieso sich dieser Irrglaube so hartnäckig hält? Das Problem am DNS ist ganz einfach, dass Anfragen an dein LAN nicht über VPN gehen, was auch Blödsinn wäre. Wenn du nun als DNS Server deinen Router, respektive die LAN IP des Routers bei deinem Netzwerk Adapter eingetragen hast, geht das am VPN vorbei. Das und die externe IP des VPN Servers sind die einzigen Ausnahmen, die an VPN vorbei gehen.

Wenn Win 10 nun meint, es...
Wenn du weißt wie du die Win FW konfigurierst, dann verbiete Anfragen über den Standard Adapter auf Port 53 UDP sobald der Tunnel steht. Dann sollte in jedem Fall Ruhe sein, da Win nen alternativen Adapter nutzen muss um DNS Anfragen zu senden, wobei der VPN Adapter ins Spiel kommt.
 
ok ich hab gerafft wieso das trotz firewall rausgeht.
Die client firewall erlaubt Verbindungen zum DNS Server. Und wenn er den dann auf jeden interface rausschickt geht das am VPN vorbei.
Ätzend. Ok da muss ich einem moment drüber nachdenken wie ich das sinnvoll blocken kann.


Grüße
Lars
 
Last edited:
Mach das Lars, in der VM kannst du dann https://www.dnsleaktest.com/ aufrufen. Im Host-System müsstest du in Wireshark dann die DNS-Abfragen unverschlüsselt sehen, die der Leaktest erzeugt. Trotz aktiviertem Tunnel und Firewall in der VM. Ich bin immer noch überzeugt davon, es liegt an diesem Win10 Feature. Hört ihr davon echt das erste Mal? Andere VPN Provider haben da scheinbar schon längst eine Meldung rausgegeben... Weitere Infos dazu auch hier: https://medium.com/@ValdikSS/beware-of-windows-10-dns-resolver-and-dns-leaks-5bc5bfb4e3f1#.sbygborxe
 
Du kannst mal probeweise die firewall rules anschauen die unser client macht.
Da gibt es eine ausgehende Regel die "Perfect Privacy VPN DNS" heisst.
Wenn du verbunden bist trag da mal in "Bereich" -> "Lokale IP-Adresse" deine VPN interne 10.x.y.z ip ein.
Dann sollte das leak weg sein.
Ich arbeit am client update, kommt morgen im laufe des Tages.

Grüße
Lars
 
Ok da muss ich einem moment drüber nachdenken wie ich das sinnvoll blocken kann.

Denkbar wäre ein OpenVPN-Up-Skript, das abgearbeitet wird, sobald der Tunnel steht. Dann kann man ja problemlos Anfragen auf Port 53 über jeglichen Adapter mit Ausnahme des VPN Adapters verbieten.
Sobald der Tunnel down geht könnte man das wieder revidieren und es wären wieder DNS Anfragen über den Standard Adapter erlaubt.
 
jep, der client mach ja eh firewalling foo,
der muss nur schauen das bevor der tunnel steht dns von jeder ip geht, auch mit firewall weil ja sonst keine namensauflösung funktioniert.
Und sobald der tunnel aktiv ist darf das nur noch von der 10.x.y.z. internen ip funktionieren.

Grüße
Lars
 
Gibt es denn schon ein Update für den VPN Manager?
Und ist dann auch sichergestellt, dass sich die Firewall-Regel ändert, wenn sich die interne IP 10.x.x.x ändert?
 
So,
update ist online, hab eine andere Lösung gefunden:
In den configs für den client stehen jetzt nicht mehr die urls, sondern direkt die Ips.
Damit fällt die "DNS erlauben" Firewall Regel weg und das Problem hat sich erledigt.


@asg34g444 jep, macht der client auch jetzt schon z.b. für den webrtc -leak Schutz.


Grüße
Lars
 
Back
Top