Inkognito
Well-known Member
Hallo,
in dieser Anleitung zeige ich euch eine Methode, mit der ihr euer Fritzbox Heimnetzwerk dahingegend absichern könnt, dass Clients ausschließlich WAN-OpenVPN-Traffic in Richtung der Perfect-Privacy Servcr und zu den DNS-Servern schicken können. Damit verhindert ihr, dass eure vom ISP zugewiesene öffentliche IP-Adresse unbeabsichtigt leakt, wenn der VPN-Tunnel zusammenbricht und keine Desktop-Firewall den Traffic blockt. Natürlich kann man die Fritzbox auch für andere Protokolle wie SSH, IPSec oder PPTP konfigurieren, in dieser Anleitung zeige ich euch aber die Konfiguration für OpenVPN über UDP.
In der Fritzbox 7580 sieht die Konfiguration in der erweiterten Ansicht wie folgt aus:
1. Liste erstellen
Geht dazu in der FB unter "Internet" -> "Filter" auf "Listen". Hier sind schon einige andere Listen vorkonfiguriert. Mit diesen Listen kann man sich große Profile zusammenbauen, die man dann einzelnen Netzwerkgeräten zuweisen kann und genau das ist der Plan. Um alles außer OpenVPN und DNS Traffic zu blockieren muss man alle anderen Ports und Protokolle blockieren. PP nutzt für OpenVPN über UDP acht verschiedene Ports und DNS benötigt Port 53. DNS wird benötigt, damit die Serverhostnamen wie steinsel1.perfect-privacy.com in IP-Adressen aufgelöst werden können.
Die fertige Liste "alles außer PP OpenVPN" sieht dann wie folgt aus:
2. Zugangsprofil erstellen
Unter dem Reiter "Zugangsprofile" erstellt ihr ein neues Profil, dieses nennt ihr zum Beispiel "PP OpenVPN" und stellt dort bei "Gesperrte Netzwerkanwendungen" eure kürzlich eingerichtete Liste ein.
3. Netzwerkgeräte einschränken
Jetzt müsst ihr nur noch unter "Kindersicherung" einstellen, welche Rechner im Netzwerk nur für OpenVPN zugelassen werden sollen, dazu einfach im rechten Dropdown-Menü euer erstelltes Profil auswählen und übernehmen. Wenn ihr neuen Netzwerkgeräten ausschließlich OVPN-Traffic erlauben wollt, ohne jedes Mal auf die Fritzbox zugreifen zu müssen, könnt ihr im Zugangsprofil "Standard" die erstellte Liste einrichten.
4. Testen
Probiert im Browser ohne VPN-Tunnel eine beliebige Webseite aufzurufen, sollte das scheitern stellt einen VPN-Tunnel her und probiert erneut. Wenn ihr jetzt ins Netz kommt funktioniert die Hardwarefirewall und ihr seid relativ sicher. Leider lässt die FB bis dato die Sperrung von ICMP-Traffic in der Kindersicherung nicht zu, was bedeutet, dass Netzwerkgeräte trotz aktivierter Kindersicherung und ohne VPN-Tunnel ICMP-Pakete versenden können, welche zum Anpingen von Servern genutzt werden. Zuverlässig geblockt werden also nur TCP und UDP-Pakete, die allerdings 99,999% des Traffics ausmachen, was bei Abbrüchen der VPN-Verbindung alle Leaks verhindern sollte, es sei denn natürlich eine Anwendung nutzt ein anderes Protokoll als TCP/UDP (nahezu ausgeschlossen) oder verschickt eine Ping-Anfrage über ICMP, was auch sehr selten vorkommt. In der Theorie ist es auch möglich, dass UDP Traffic auf einem der PP oder DNS-Ports an einen fremden Server durchgeht, das ist aber noch unwahrscheinlicher als das vorherige Szenario.
Gerade Browsertraffic, den ich persönlich primär vor einem Leak schützen möchte, ist mit dieser Hardware-Firewalllösung für Arme aber gut geschirmt.
Für mehr Sicherheit und ganz Paranoide empfiehlt es sich zusätzlich noch eine Desktopfirewall wie die Windows Firewall einzurichten oder einfach die Firewalloption im PP VPN-Manager zu aktivieren, dann könnt ihr euch noch einmal zusätzlich absichern und zudem weitere Protokolle blockieren.
Viel Spaß damit!
in dieser Anleitung zeige ich euch eine Methode, mit der ihr euer Fritzbox Heimnetzwerk dahingegend absichern könnt, dass Clients ausschließlich WAN-OpenVPN-Traffic in Richtung der Perfect-Privacy Servcr und zu den DNS-Servern schicken können. Damit verhindert ihr, dass eure vom ISP zugewiesene öffentliche IP-Adresse unbeabsichtigt leakt, wenn der VPN-Tunnel zusammenbricht und keine Desktop-Firewall den Traffic blockt. Natürlich kann man die Fritzbox auch für andere Protokolle wie SSH, IPSec oder PPTP konfigurieren, in dieser Anleitung zeige ich euch aber die Konfiguration für OpenVPN über UDP.
In der Fritzbox 7580 sieht die Konfiguration in der erweiterten Ansicht wie folgt aus:
1. Liste erstellen
Geht dazu in der FB unter "Internet" -> "Filter" auf "Listen". Hier sind schon einige andere Listen vorkonfiguriert. Mit diesen Listen kann man sich große Profile zusammenbauen, die man dann einzelnen Netzwerkgeräten zuweisen kann und genau das ist der Plan. Um alles außer OpenVPN und DNS Traffic zu blockieren muss man alle anderen Ports und Protokolle blockieren. PP nutzt für OpenVPN über UDP acht verschiedene Ports und DNS benötigt Port 53. DNS wird benötigt, damit die Serverhostnamen wie steinsel1.perfect-privacy.com in IP-Adressen aufgelöst werden können.
Die fertige Liste "alles außer PP OpenVPN" sieht dann wie folgt aus:
2. Zugangsprofil erstellen
Unter dem Reiter "Zugangsprofile" erstellt ihr ein neues Profil, dieses nennt ihr zum Beispiel "PP OpenVPN" und stellt dort bei "Gesperrte Netzwerkanwendungen" eure kürzlich eingerichtete Liste ein.
3. Netzwerkgeräte einschränken
Jetzt müsst ihr nur noch unter "Kindersicherung" einstellen, welche Rechner im Netzwerk nur für OpenVPN zugelassen werden sollen, dazu einfach im rechten Dropdown-Menü euer erstelltes Profil auswählen und übernehmen. Wenn ihr neuen Netzwerkgeräten ausschließlich OVPN-Traffic erlauben wollt, ohne jedes Mal auf die Fritzbox zugreifen zu müssen, könnt ihr im Zugangsprofil "Standard" die erstellte Liste einrichten.
4. Testen
Probiert im Browser ohne VPN-Tunnel eine beliebige Webseite aufzurufen, sollte das scheitern stellt einen VPN-Tunnel her und probiert erneut. Wenn ihr jetzt ins Netz kommt funktioniert die Hardwarefirewall und ihr seid relativ sicher. Leider lässt die FB bis dato die Sperrung von ICMP-Traffic in der Kindersicherung nicht zu, was bedeutet, dass Netzwerkgeräte trotz aktivierter Kindersicherung und ohne VPN-Tunnel ICMP-Pakete versenden können, welche zum Anpingen von Servern genutzt werden. Zuverlässig geblockt werden also nur TCP und UDP-Pakete, die allerdings 99,999% des Traffics ausmachen, was bei Abbrüchen der VPN-Verbindung alle Leaks verhindern sollte, es sei denn natürlich eine Anwendung nutzt ein anderes Protokoll als TCP/UDP (nahezu ausgeschlossen) oder verschickt eine Ping-Anfrage über ICMP, was auch sehr selten vorkommt. In der Theorie ist es auch möglich, dass UDP Traffic auf einem der PP oder DNS-Ports an einen fremden Server durchgeht, das ist aber noch unwahrscheinlicher als das vorherige Szenario.
Gerade Browsertraffic, den ich persönlich primär vor einem Leak schützen möchte, ist mit dieser Hardware-Firewalllösung für Arme aber gut geschirmt.
Für mehr Sicherheit und ganz Paranoide empfiehlt es sich zusätzlich noch eine Desktopfirewall wie die Windows Firewall einzurichten oder einfach die Firewalloption im PP VPN-Manager zu aktivieren, dann könnt ihr euch noch einmal zusätzlich absichern und zudem weitere Protokolle blockieren.
Viel Spaß damit!
Last edited: