Beantwortet: DNS Anfragen werden nicht über VPN geroutet

asg34g444

Junior Member
Hallo,
ich habe ein Win10 System in einer virtuellen Maschine (VM). In der VM läuft der PP-VPN Manager. DNS Leak Tests zeigen die Google DNS-Server.
Wenn ich nun den Traffic der VM mit Wireshark mitschneide (Wireshark läuft auf dem Host-System), sehe ich alle DNS-Anfragen der VM unverschlüsselt, obwohl der sonstige Traffic über VPN geroutet wird.
Warum werden die DNS-Anfragen am VPN "vorbei" geroutet? So könnte mein ISP ja sehen, auf welchen Seiten ich unterwegs bin (durch die DNS-Anfragen).
 
Solution
Sowieso sollte euer DNS-Leak-Test um eine Funktionalität erweitert werden, um anzuzeigen, von welcher IP die DNS-Anfrage kommt. Bringt nichts wenn dort zwar Google-DNS steht, der Request läuft aber am VPN vorbei. Der ISP kann trotzdem mitlesen, welche Seiten ich besuche.

Es läuft nichts am VPN vorbei, frage mich wieso sich dieser Irrglaube so hartnäckig hält? Das Problem am DNS ist ganz einfach, dass Anfragen an dein LAN nicht über VPN gehen, was auch Blödsinn wäre. Wenn du nun als DNS Server deinen Router, respektive die LAN IP des Routers bei deinem Netzwerk Adapter eingetragen hast, geht das am VPN vorbei. Das und die externe IP des VPN Servers sind die einzigen Ausnahmen, die an VPN vorbei gehen.

Wenn Win 10 nun meint, es...
Warum werden die Anfragen an die Google DNS Server nicht über den VPN geroutet?
Welche DNS IP soll ich in den Netzwerkeinstellungen genau eintragen, um das Problem zu beheben? 192.168.x.x. ???
 
Also innerhalb der VM-Ware direkt im LAN-Adapter dort hast du 8.8.8.8 drin? Das würde mich wundern, denn dann müsste die DNS-Anfrage 100 Prozent über VPN
 
Ja, genau.
Hat es vielleicht damit was zu tun? https://www.bestvpn.com/blog/28318/warning-windows-10-vpn-users-at-big-risk-of-dns-leaks-2/
Ist dieses "Feature" von Win10 überhaupt schon bei euch bekannt?

Sowieso sollte euer DNS-Leak-Test um eine Funktionalität erweitert werden, um anzuzeigen, von welcher IP die DNS-Anfrage kommt. Bringt nichts wenn dort zwar Google-DNS steht, der Request läuft aber am VPN vorbei. Der ISP kann trotzdem mitlesen, welche Seiten ich besuche.
 
Sowieso sollte euer DNS-Leak-Test um eine Funktionalität erweitert werden, um anzuzeigen, von welcher IP die DNS-Anfrage kommt. Bringt nichts wenn dort zwar Google-DNS steht, der Request läuft aber am VPN vorbei. Der ISP kann trotzdem mitlesen, welche Seiten ich besuche.

Es läuft nichts am VPN vorbei, frage mich wieso sich dieser Irrglaube so hartnäckig hält? Das Problem am DNS ist ganz einfach, dass Anfragen an dein LAN nicht über VPN gehen, was auch Blödsinn wäre. Wenn du nun als DNS Server deinen Router, respektive die LAN IP des Routers bei deinem Netzwerk Adapter eingetragen hast, geht das am VPN vorbei. Das und die externe IP des VPN Servers sind die einzigen Ausnahmen, die an VPN vorbei gehen.

Wenn Win 10 nun meint, es ist ihm egal, was du bei deinem Adapter einstellst und es sendet die DNS Anfragen einfach über alle möglichen Adapter, dann ist das tatsächlich ein WIN Problem, das sich aber durch ne Firewall Einstellung beheben lassen sollte, dass Anfragen an Port 53 nicht an die Router IP gestellt werden dürfen.
 
Solution
Bei Win10 läuft es am VPN mit Standardeinstellungen definitiv vorbei und das sollte nicht so sein. Ist auch kein "Irrglaube", weil ich den Traffic meiner VM geloggt habe, und die DNS-Anfragen unverschlüsselt rausgingen (also nicht über den VPN), auch wenn ich in der VM die DNS-Server von allen Adaptern auf Google DNS gestellt habe. Kannst du ja gerne selbst mal testen.
Liegt auch nicht an meiner Win10-Config, weil es mit einer frischen Installation genauso ist.
 
und die DNS-Anfragen unverschlüsselt rausgingen

Initial gehen die natürlich unverschlüsselt raus, da ja noch gar kein Tunnel steht. Das Auflösen der PP Server-IP erfolgt erstmal ohne VPN. Nachdem der Tunnel steht, sollten sie aber durch den Tunnel gehen, solange man nicht den Router als DNS Server eingetragen hat.
Hast du routed oder bridged Netzwerk in der VM? Es sollte bridged sein, da die VM nur dann direkt und exklusiv ohne Umwege über das Hostsystem auf den LAN Adapter zugreifen kann,.
 
Initial gehen die natürlich unverschlüsselt raus, da ja noch gar kein Tunnel steht. Das Auflösen der PP Server-IP erfolgt erstmal ohne VPN. Nachdem der Tunnel steht, sollten sie aber durch den Tunnel gehen, solange man nicht den Router als DNS Server eingetragen hat.
Das ist klar :) Sobald die Verbindung hergestellt ist, gehen die Anfragen definitv immer noch unverschlüsselt raus.
Bei Virtualbox steht in den Netzwerkeinstellungen: "Angeschlossen an NAT"
 
Win10 Feature liegt, das DNS Anfragen an alle verfügbaren Adapter raussendet.

Was zeigt dir das Logging an wohin die DNS Anfragen gehen? An den Google DNS 8.8.8.8? Sperre Notfalls per Firewall Anfragen an die Router-IP auf Port 53, dann ist Ruhe.
 
Ja, die gehen an den Google DNS.

Wenn das Routing in deiner VM korrekt ist, dann gehen diese Anfragen allerdings durch den Tunnel, da alles ausser LAN Anfragen und Anfragen an die externe Server-IP, durch den Tunnel gehen.
Da stimmt dann irgendwas nicht mit deinem Routing, wenn Anfragen an 8.8.8.8 am Tunnel vorbei gehen.

Sehe da eher n VM problem als ein Win 10 Problem.
 
Passiert das auch wenn die Firewall aktiv ist?

Weil ja, das man Pakete am VPN vorbei schickt geht schon, das ist das selbe wie bei webrtc und geht bei jedem windows.

https://www.perfect-privacy.com/german/2015/02/03/neue-informationen-zum-webrtc-ip-leak/

Kernsatz aus der windows doku:

If the program specifies a source IP address, that IP address is used as the source IP address for connections sourced from that socket and the adapter associated with that source IP is used as the source interface. The route table is searched but only for routes that can be reached from that source interface.“ [1]

D.h. wenn man als source die 192.168 ip nimmt geht das schön am vpn vorbei weil 192. nicht nach 10. routed. juhu.
Und wenn Windows 10 die DNS Anfragen von jedem Interface aus schickt, passiert nunmal genau das. Webrtc ist nix anderes, das schickt auch einfach Pakete von jedem interface.

Deshalb: Firewall anmachen!
:)


@JackCarver : Routing unter Windows funktioniert subtil anderes als unter linux, bei webrtc hab ich auch erstmal blöd geschaut und 2 tage lang windows doku gelesen bis ich diesen entscheidenden Satz gefunden hab.


Grüße
Lars
 
Routing unter Windows funktioniert subtil anderes als unter linux, bei webrtc hab ich auch erstmal blöd geschaut und 2 tage lang windows doku gelesen bis die diesen entscheidenden Satz gefunden hab.

Ok, dann ist das tatsächlich ein Win Problem. Hätte jetzt nicht darauf getippt, dass es tatsächlich sein kann, dass Anfragen an eine externe IP trotz bestehendem Tunnel daran vorbei gehen.
Das passiert unter OSX zb auch nicht, ist dort ebenso wie unter Linux geregelt.
 
PP-Firewall ist nicht aktiv, allerdings habe ich den Standardadapter als "privates Netzwerk" definiert und den TAP-Adapter von OpenVPN als "öffentliches Netzwerk". Und in der Windows Firewall alle ausgehenden Verbindungen des privaten Netzwerks geblockt, außer für die openvpn.exe und noch ein paar standardmäßig freigegebene Windows-Sachen (zB "Kernnetzwerk ..."), die DNS-Funktinalität brauche ich im privaten Netzwerk ja, um überhaupt eine Verbindung zum VPN herstellen zu können.
 
Jep, wie gesagt, bei webrtc ist das ja schonmal aufgefallen,
da hab ich richtig doof geschaut weil ich auch erstmal dachte "ok ich weiß anscheinende nicht wie routing funktioniert" .
Das hat sich dann nach 2 Tagen wirrer Windows doku lesen auf "ok ich wusste nicht genau wie windows routing funktioniert" geändert :)

Du darfst ausgehende Verbindungen nur von der 10.x.x.x VPN IP erlauben, so das man nicht von der 192. einfach so ans internet Pakete schicken kann.

Das macht die Client Firewall automatisch.

Grüße
Lars
 
Hi Lars,

habe jetzt mal die PP Firewall aktiviert. Das Problem besteht aber weiterhin?! Ich sehe immer noch unverschlüsselte DNS-Anfragen über Wireshark. Das gibts doch nicht?
 
Back
Top