Beantwortet: PP ignoriert Windows Firewall Rules - Bug?

deltay

New Member
Hallo,
ich folgendes Problem mit PP.
Meine Windows Firewall hat die Regel für ausgehende Verbindungen: Alles blockieren was nicht durch eine Regel zugelassen ist.
Das funktioniert im Privaten Netzwerk ohne Start des PP-Managers wunderbar.
Nach Start des PP-Managers geht der Traffic über die VPN (Öffentliches Netzwerk) und dann wird die obige Regel ignoriert, d.h. es wird alles durchgelassen was nicht ausdrücklich verboten ist (Standardregel der Windows Firewall)

Die Frage ist: Wo ist der Fehler? Setzt PP unerlaubt die Einstellung der Firewall zurück???
 
Solution
Also..

Weil das alles relativ kompliziert ist, ein langer post von mir:

Erstmal grundlegend was der Windows client überhaupt macht.

A) Er setzt die default connection option auf blocking, für alle Netze, also public, private und domain.
Das könnt ihr in dem Windows Firewall "Erweiterte Einstellungen" Fenster sehen. Diesem: http://thewindowsclub.thewindowsclu...ent/uploads/2009/04/win7advanced-firewall.jpg
B) Er deaktiviert alle ausgehenden Firewall Regeln, die Traffic Richtung Internet am VPN vorbei erlauben würden.
C) Er setzt selber ein paar Firewall Regeln, deren Namen fangen alle mit "Perfect Privacy" an und die könnt ihr euch einfach anschauen.

Sonst macht der Client nichts, d.h. wenn es...
Soweit ich noch weiß kannst du zum einen im PP-Manager angeben, dass sobald verbunden, alles nur über VPN geht - der passt die FW-Regeln dann an. Das hat aber mit deinen Windows-FW-Regeln erstmal nichts zu tun. Und sobalkd du dich wieder vom PP-Server trennst, werden die FW-Regeln wieder gelöscht bzw. rückgängig gemacht.
Ich selbst nutze den PP-Manager aber nicht mehr!

Gehe eher davon aus, dass deine FW-Regeln sich nur auf das Private-Netzwerk beziehen!
Prüf das nochmal.
 
Eine Firewall ist ja nicht dazu da um lokale Apps zu blockieren. Solche Regeln sind auch nicht für die Firewalloption von uns vorgesehen, sondern für das Standardsetup der Win Firewall gedacht, denn das sind auc h die sinnvolsten Firewallregeln für den Heimanwender unter Windows
Für mich stellt sich eher die Frage ob die Firewalloption mit der umgemodelten Win Firewall überhaupt noch funktionieren. Das solltest du testen. Ich habe da so meine Zweifel
 
Sinnvoll ist das Blocken unbekannter Anwendungen schon, wenn man das nach Hause telefonieren unterbinden will.
Ich nutzte früher Commodo, jetzt mit PP gezwungenermaßen die Binisoft Firewall Control. Die fragt nach ob das Programm rausgehen darf. Ich klicke ja/nein, fertig. Binisoft schreibt aber nur die Allow/Deny-Rule in die Winows Firewall und stört somit PP nicht. Läuft auch sonst alles einwandfrei zusammen mit der PP.

Von einer VPN verlange ich nicht, dass sie Anwendungen blockiert. Sie sollte sich nur an die Vorgaben der Firewall halten und die nicht untertunneln. Witzigerweise funktionieren die Block-Rules der Windows-Firewall mit PP einwandfrei. Nur eben nicht "Schau nach, ob es Allow-Regel gibt. Falls nein, Anwendung blocken"

Die Frage ist nun, woran liegt es? an PP oder ist es ein allgemeines VPN-Problem? Oder hab ich Windows falsch konfiguriert.

@Alex
"Soweit ich noch weiß kannst du zum einen im PP-Manager angeben, dass sobald verbunden, alles nur über VPN geht - der passt die FW-Regeln dann an. Das hat aber mit deinen Windows-FW-Regeln erstmal nichts zu tun. Und sobalkd du dich wieder vom PP-Server trennst, werden die FW-Regeln wieder gelöscht bzw. rückgängig gemacht." - Funktioniert auch einwandfrei. Aber darum geht es ja nicht.

"Gehe eher davon aus, dass deine FW-Regeln sich nur auf das Private-Netzwerk beziehen!" - Nein, die sind bei PN und ÖN gleich. Die Block-Regeln funktionieren ja mit PP im Öffentlichen Netzwerk.
 
@Frank

Die Firewalloptionen von PP haben keinerlei Einfluss auf das Problem. Es werden NUR die ausdrücklichen Block-Rules der Windows-Firewall beachtet. Ansonsten wird alles durchgelassen. (Sodass ich mit Binisoft ständig dieselben Freigaben gegen muss - PP merkt sich sogar keine Freigabe)

Für mich stellt sich nun die sehr bedenkliche Frage:

Wenn PP alles was nicht ausdrücklich verboten ist raus lässt, lässt es auch alles was nicht ausdrücklich verboten ist (sprich: alles) rein? Da täte sich ein Abgrund auf, wenn die Windows-Firewall so durch Ignorieren ausgehebelt würde.
 
Die Firewall setzt die default Verbindung auf "Blocking" , und erlaubt dann explizit VPN dinge.
Des weitere deaktiviert sie alle "erlaubenden" ausgehenden Firewall Regeln.

@deltay : kannst mal ein paar screenshots machen von deinen VPN-Manager Firewall Einstellungen,
und davon wie die Windows Firewall vorher und nachher aussieht?
 
Hallo Lars,
zunächst: Ein Screenshot ist kaum notwendig, weil diese Einstellungen keinen Einfluss auf das Problem haben. Konkret hab ich nur beide male "Bei Tunnelstart aktivieren" angehakt. Das funktioniert auch wie es soll, nämlich sämtlichen Verkehr außerhalb der VPN blocken.

"Die Firewall setzt die default Verbindung auf "Blocking" , und erlaubt dann explizit VPN dinge.
Des weitere deaktiviert sie alle "erlaubenden" ausgehenden Firewall Regeln."

Das passt exakt auf das Problem. Leider hat das zwei Haken:
1) Durch das Deaktivieren der erlaubten Dinge blockt ihr z.b. svhost.exe usw., die ich eigentlich erlauben will. Somit kommt bei mir mehrmals pro Minute die entsprechende Anfrage der Firewall hoch. siehe Screenshot. Nervt sehr
2) Die "VPN Dinge" scheint alles andere zu sein. Egal welches Programm ich starte, es wird durchgelassen. Es sei denn, es ist explizit in der Firewall geblockt. Sehr schlecht und gefährlich, weil man fast sämtliche Kontrolle an euer Programm abgibt. So bin ich z.b. gezwungen, nach Neuinstallationen einen Zeitlang ohne VPN ans Netz zu gehen, bis alle (Unter)programme hochgekommen sind und ggf. explizit von mir geblockt wurden.

Ich verstehe denn Sinn eurer Firewall-Regeln nicht so ganz. Warum könnt ihr nicht das von Windows vorgegebene und vom User gewünschte Default-Verhalten der Firewall umsetzen? Warum eigene Regeln, die nur bedingt Sinn machen?
 

Attachments

  • FireShot Screen Capture #110 - '' -.png
    FireShot Screen Capture #110 - '' -.png
    149.8 KB · Views: 11
Von einer VPN verlange ich nicht, dass sie Anwendungen blockiert. Sie sollte sich nur an die Vorgaben der Firewall halten und die nicht untertunneln. Witzigerweise funktionieren die Block-Rules der Windows-Firewall mit PP einwandfrei. Nur eben nicht "Schau nach, ob es Allow-Regel gibt. Falls nein, Anwendung blocken"

Die Frage ist nun, woran liegt es? an PP oder ist es ein allgemeines VPN-Problem? Oder hab ich Windows falsch konfiguriert.

Wie hast Du denn Deine Firewall Regeln erstellt? Selber von Hand eingetragen oder ueber ein Programm?
Wenn Du sie manuell per Hand eintraegst kannst Du genau festlegen ob sich ein Programm ueber privates oder oeffentliches Netzwerk verbinden oder beides oder nicht verbinden darf.
Auf diese Art und Weise kann man auch schoen einstellen ob ein Programm bei VPN Abbruch sich noch mit dem Internet verbindet oder nicht. Ich hab noch nie die IPleak Protection von VPN Clienten benutzt weil ich nie weiss was die in meinen PC rumpfuschen. Genauso trage ich einmal den DNS Server manuell ein und fertig.

Dass die VPN Verbindungen ueber das oeffentliche Netzwerk geschehen ist ganz normal und hat nichts mit PP zu tun. Das macht Windows so.


Du kannst aber auch nachtraeglich Deine Rules bearbeiten und festlegen ob sie fuer das private Netzwerk oder oeffentliche gelten sollen.
http://www.bilder-upload.eu/show.php?file=78d6c3-1502722614.jpg
show.php

Du musst dies bei jeder eingehenden und ausgehenden Regel einstellen aendern, wo ein Programm blockiert werden soll. Indem Dauch noch einen Haken bei "Public" machst.
Sorry, hab nur eine englische Windows Version aber es sollte bei Dir genauso aussehen nur halt auf Deutsch.
Zu finden unter Firewall - erweiterte Einstellungen, dann oben links auf eingehende und ausgehende Verbindungen klicken, die jeweilige Rule mit Rechtsklick anwaehlen und editieren auswaehlen
 
Also wenn die VPN getrennt ist, geh ich immer automatisch im Privaten Netzwerk raus
Wenn sie an ist, im Öffentlichen Netzwerk.

Soweit klar und verständlich und macht Sinn.

Das Problem ist, dass die PP-VPN die Allow-Firewall-Regeln (im öffentlichen Netzwerk) ungefragt ignoriert. Kannst du also einstellen was du willst, PP befolgt es nur, wenn da "Block Öffentliches Netz" steht. Ansonsten Banane.

Und Regeln für das Private Netz hab ich schon. Die greifen 100% weil eben nur dann Privates Netz gilt, wenn man ohne VPN online geht.

Und es nützt mir auch nichts zu sagen "Programm xy darf nur mit Privatem Netz rein". Weil wozu hab ich denn einen VPN, wenn die nicht 24/7 an sein darf? Ich sie deaktivieren muss, um mit Programm xy online gehen zu dürfen?
 
Hallo Lars,
zunächst: Ein Screenshot ist kaum notwendig, weil diese Einstellungen keinen Einfluss auf das Problem haben. Konkret hab ich nur beide male "Bei Tunnelstart aktivieren" angehakt. Das funktioniert auch wie es soll, nämlich sämtlichen Verkehr außerhalb der VPN blocken.

Ist dir klar das "Bei Tunnelstart aktivieren" die Firewall nur aktiviert, wenn auch ein VPN tunnel aktiv ist? D.h. wenn du deinen Computer startest oder so, dann ist die Firewall auch nicht aktiv, weil ja kein Tunnel da ist. Wenn du dauerhaft dein System schützen willst, dann benutz "Dauerhaft aktivieren"

Das passt exakt auf das Problem. Leider hat das zwei Haken:
1) Durch das Deaktivieren der erlaubten Dinge blockt ihr z.b. svhost.exe usw., die ich eigentlich erlauben will. Somit kommt bei mir mehrmals pro Minute die entsprechende Anfrage der Firewall hoch. siehe Screenshot. Nervt sehr
2) Die "VPN Dinge" scheint alles andere zu sein. Egal welches Programm ich starte, es wird durchgelassen. Es sei denn, es ist explizit in der Firewall geblockt. Sehr schlecht und gefährlich, weil man fast sämtliche Kontrolle an euer Programm abgibt. So bin ich z.b. gezwungen, nach Neuinstallationen einen Zeitlang ohne VPN ans Netz zu gehen, bis alle (Unter)Programme hochgekommen sind und ggf. explizit von mir geblockt wurden.

Ich verstehe denn Sinn eurer Firewall-Regeln nicht so ganz. Warum könnt ihr nicht das von Windows vorgegebene und vom User gewünschte Default-Verhalten der Firewall umsetzen? Warum eigene Regeln, die nur bedingt Sinn machen?


1) Wenn du svhost.exe erlaubst am VPN vorbei ins Internet zu kommen, dann hast du dir ein IP leak gebaut, genau das will der Client ja gerade verhindern.
2) Kannst du das mal genauer beschreiben? In welcher Situation und bei welchen Einstellungen des Clients kommen Programme ins Internet die das nicht sollten?


Kannst du mir mal einen Screenshot vom Windows Firewall "Erweiterte Einstellungen" screen machen? Also diesem: http://www.antivirenprogramm.net/wp-content/uploads/2014/01/firewall-erweiterte-einstellungen.jpg screen, wo man erkennt wie die defaults für die profile sind?
Am schönsten wäre der Screenshot, wenn man auch gleichzeitig den Client und die Client Einstellungen sieht.


Generell kann ich nur dringend empfehlen die Firewall des Clients zu benutzen und nicht mit eigenen Regeln da dran rum zu fummeln. Die Client Firewall Regeln sind über ein paar Jahre entstanden, und decken mehrere leaks ab, die man manuell nur sehr schwer geschlossen bekommt. z.b. https://www.perfect-privacy.com/german/2015/12/21/wrong-way-sicherheitsluecke-enttarnt-vpn-nutzer/ oder auch die Tatsache das wenn man vhost.exe erlaubt, DNS geht, und wenn DNS geht kann jedes Programm mit dem internet kommunizieren, auch wenn direkte Verbindungen blockiert werden.

PS: Verlass dich nicht auf dieses "Öffentliches/Privates" Netz Ding.
Das sieht in der GUI aus wie ein entweder/oder. In der API ist das aber meine ich eine Bitmaske, d.h. ein Netz kann öffentlich und privat sein, und du siehst es in der GUI nicht.


Grüße
Lars
 
Das Problem ist, dass die PP-VPN die Allow-Firewall-Regeln (im öffentlichen Netzwerk) ungefragt ignoriert. Kannst du also einstellen was du willst, PP befolgt es nur, wenn da "Block Öffentliches Netz" steht. Ansonsten Banane.

Du hast es noch nicht ganz verstanden. Das Problem liegt nicht bei PP sondern bei Deinen Firewall Regeln. Warum auch immer? werden in Deinen Firewall Regeln nur der Zugang ueber das Private Netzwerk geblockt und nicht auch die ueber das oeffentliche Netzwerk.
Dies macht ueberhaupt keinen Sinn. Wenn ich schon ein Programm komplett zum Internet blocken will mache ich das logischerweise fuer alle Verbindungen und nicht nur fuer die Moeglichkeit des Privaten Netzwerkes.

Dein Problem hat auch erst einmal nichts mit den Ipleak Schutz des PP Clienten zu tun. Du kannst ihn ja auch einmal komplett ausschalten und Dein Problem wird aber immer noch bestehen. Du kannst auch selber manuell eine VPN Verbindung ueber Ipsec oder OpenVPN einrichten und das Problem wird weiterhin bestehen, weil Windows einfach das oeffentliche Netzwerk verwendet welches warum auch immer nicht in Deinen Firewall Regeln geblockt wird.

Blocke einfach in Deinen Regeln auch das oeffentliche Netzwerk und Du wirst keine Probleme mehr haben. ;) Ob mit oder ohne PP Ipleakschutz. Selbst bei eingeschalteten Ipleak Schutz im Clienten funktionieren diese Regeln trotzdem noch.
 
Wir reden hier ziemlich aneinander vorbei. Daher nochmal ausführlich. Ich habe noch etwas mit PP experimentiert und bin nun sicher:

It's not a bug, it's a feature - aber kein gutes.

vorausgeschickt: Ich benutze die Binisoft Windows Firewall Control mit Notifications (WFC) - sie meldet sich per Requester, wenn ein Programm geblockt wird und fragt nach ob es in Zukunft erlaubt oder geblockt werden soll. (*) Ich habe die Windows Firewall so konfiguriert, dass sie alles blockt was nicht ausdrücklich durch mich erlaubt ist.

Die Einstellungen der Firewall von PP haben übrigens keinen Einfluss auf die 3 Szenarien!
Egal was man an oder abhakt, die Probleme bleiben.

Szenario 1: Ungefragtes Nach-Hause-Telefonieren

Bsp: Ich installiere versehentlich das (Unter-)Programm XY, was ungefragt nach Hause telefoniert.
Ohne PP bin ich im Privaten Netzwerk der Windows Firewall. WFC meldet, dass XY nach Konfiguration (*) geblockt wurde und fragt was zu tun ist. Ich klicke "Immer Blocken" - fertig
Mit PP bin ich nur von der PP-Firewall geschützt. WFC meldet nichts, weil PP das Programm durchlässt, denn PP beachtet obige Konfiguration der Windows-Firewall (*) nicht ! Nur Programme die in der Windows-Firewall ausdrücklich auf "geblockt" stehen, werden geblockt.
Workaround: Ich muss nach Installationen eine Zeitlang ohne PP online gehen, bis mit WFC alles abgearbeitet ist was hochkommt. Nicht gut.

Szenario 2: Drucken im Netzwerk

Geht nicht mit PP, weil PP den Fritzbox-USB-Fernanschluss blockt. Damit haben sich die Optionen "Firewall bei Programmstart aktivieren" und "Firewall dauerhaft aktivieren" erledigt, denn zum Drucken muss ich die PP-Firewall beenden können. Womit sich geschütztes Surfen "nebenbei" auch erledigt hat.

Szenario 3: Blocken von Systemtasks

Jetzt wird's richtig nervig. PP blockt die Tasks svhost, dashost und "NT Kernel & System" - Das ist nach Lars ein Feature, sicher gut begründet und sinnvoll. ABER: Die WFC meldet das Blocken rund 3x pro Minute per Requester.

Idee: Die drei Tasks in der Windows-Firewall im Öffentlichen Netz (wo PP ist) blocken. Nützt nichts! PP beachtet gerade bei diesen Tasks die Einstellung der windows-Firewall nicht, selbst wenn es eine Block-Rule ist. traut man dem User nicht?

Andere Idee: Die drei Tasks in allen Netzwerken sperren. Schlechte Idee, weil dann die Verbindung zum Provider abbricht und PP nicht mehr zum Server verbinden kann.

Workaround: Meldungen von WFC abstellen, denn 3x pro Minute will man nicht genervt werden. Schlecht, geht aber nicht anders. Da PP sowieso beliebige Programme durchlässt sind die Requester eh sinnlos.

----------------

Fazit: PP ist ein gutes Programm und ich bin eigentlich zufrieden. Bitte korrigiert aber folgendes:
1) USB Fernanschluss durchlassen
2) Blocking Rules der Windows Firewall auch für Systemtasks beachten lassen
3) Am schönsten wäre es, wenn ihr die Konfiguration der Windows-Firewall beachten würden. Screenshot unten
 

Attachments

  • FireShot Screen Capture #111 - '' -.png
    FireShot Screen Capture #111 - '' -.png
    57.7 KB · Views: 8
  • FireShot Screen Capture #112 - '' -.png
    FireShot Screen Capture #112 - '' -.png
    28.1 KB · Views: 8
Last edited:
Ich kann @deltay sehr gut verstehen. Bei mir hat Perfect Privacy mit der Windows Firewall und Verbindungen einzelner Programme/Dateien sperren nie funktioniert. Das war sehr schade, da ich deshalb meinen PP-Vertrag momentan nicht mehr nutze und diesen nach Ablauf nicht verlängern werde. Schade, ich habe PP immer gern genutzt :(.

Denn letztlich ist auch für mich der PP-Client wertlos, denn jegliche Programme vom heimischen Rechner aus können bei aktiver VPN-Verbindung über das Internet connecten. Der gesamte Traffic, der den Rechner verlässt, ist mit Perfect Privacy nicht kontrollierbar. VPN-Clients anderer VPN-Anbieter, die nicht auf die Microsoft Firewall setzen, können bspw. mit Comodo Firewall konfiguriert werden. Und hier kann ich exakt einstellen, welches Programm über die VPN Verbindung connecten darf und welches nicht. Wichtig dabei: Ich werde bei jedem Programm/Datei, welches mit dem Internet kommunizieren soll, vorher gefragt und solange ich nicht eingewilligt habe, kann es während oder auch außerhalb einer VPN-Verbindung nicht mit dem Internet kommunizieren.

Ich sehe hier deshalb schon seit gefühlten 3 Jahren (wo ich das erste Mal PP verwendet habe), eine gefährliche Sicherheitslücke oder zumindest eine mangelnde Sicht auf die Bedürfnisse der Kunden von Perfect Privacy bei Benutzung des Multi-VPN-Client. Vielen Kunden ist gar nicht bewusst, dass sämtliche lokale Programme (ob Viren, Trojaner, Spyware, MicrosoftApps, freigeschaltete Programme, Microsoft-Log-Dienste, Microsoft-Lizensierungsdienste die meine Anonymität demaskieren!) während einer VPN Verbindung über Perfect Privacy mit dem Internet "unbeschränkt" kommunizieren können.

Ich möchte nicht meckern sondern PP hiermit nochmals auf diese Sicherheitslücke und datenschutzkritische Lücke hinweise. Bitte schreibt uns Kunden bitte bitte entweder eine verständliche ausführliche Anleitung :)wie wir dieses Problem in den Griff bekommen oder verändert den Client so, dass man ihn wieder vernüftig benutzen kann. Ich finde PP eigentlich sehr gut, aber dieses Manko zwingt mich leider dazu einen anderen VPN Anbieter zu verwenden, der den IP-Leak-Schutz über den Netzwerk-TAP realisiert und nicht über die leidige Microsoft-Firewall.

Ich würde so gern Perfect Privacy behalten, aber ich sehe echt keine Chance mehr für mich. :(.

Wenn mir z.B. @PP Lars helfen könnte, wäre das sehr nett. Herzlichen Dank für eine ausführlich Anleitung mit Erklärungen, die ich und andere Kunden gut verstehen und umsetzen können, am Besten mit konkreten Beispielen, sodass man auch weiß, dass die Lösung tatsächlich funktioniert. Gern hier im Forum oder gern im PP-Portal.

Momentan kann ich somit leider den Multi-Hop-VPN-Client von Perfect Privacy aus Sicherheitsgründen nicht verwendbar - und ohne Client ist PP für mich nicht vom Preis her gerechtfertigt. Der Client schützt zwar vor IP-Leaks, gefährdet aber massiv die Sicherheit des Nutzers/Kunden, da man ausgehende Verbindungen/Programme/Dateien nicht kontrollieren kann.

Viele Grüße
Wcon
 
Last edited:
Also das stimmt aber so auch nicht. Wenn ich spezifische Programme in der Windows Firewall blockiere, beachtet PP diese Regeln sehr wohl auch! Getestet bei diversen Programmen wo nach blocken des Programms bei "suche nach Updates" eine Fehlermeldung kam wie "Verbindung zum Update-Server konnte nicht hergestellt werden"

Auch alles in der Hostfile wird beachtet! Somit auch alle Microsoft Lizensierungs und sonstwas an Spionageserver die da drin stehen...

Ihr müsst irgendwas falsch machen bei der Bedienung der Firewall...
 
Also..

Weil das alles relativ kompliziert ist, ein langer post von mir:

Erstmal grundlegend was der Windows client überhaupt macht.

A) Er setzt die default connection option auf blocking, für alle Netze, also public, private und domain.
Das könnt ihr in dem Windows Firewall "Erweiterte Einstellungen" Fenster sehen. Diesem: http://thewindowsclub.thewindowsclu...ent/uploads/2009/04/win7advanced-firewall.jpg
B) Er deaktiviert alle ausgehenden Firewall Regeln, die Traffic Richtung Internet am VPN vorbei erlauben würden.
C) Er setzt selber ein paar Firewall Regeln, deren Namen fangen alle mit "Perfect Privacy" an und die könnt ihr euch einfach anschauen.

Sonst macht der Client nichts, d.h. wenn es irgendwas nicht tut, oder zu viel oder zu wenig blockiert wurde, dann könnt ihr das in den Windows Firewall Einstellungen nachschauen wieso das so ist. Da passiert nichts verstecktes oder so. Der Client macht programmatisch nur Dinge, die ihr auch per klicken konfigurieren könntet.

Dann zu den einzelnen Problemen:

Szenario 1: Ungefragtes Nach-Hause-Telefonieren
Bsp: Ich installiere versehentlich das (Unter-)Programm XY, was ungefragt nach Hause telefoniert.
Ohne PP bin ich im Privaten Netzwerk der Windows Firewall. WFC meldet, dass XY nach Konfiguration (*) geblockt wurde und fragt was zu tun ist. Ich klicke "Immer Blocken" - fertig
Mit PP bin ich nur von der PP-Firewall geschützt. WFC meldet nichts, weil PP das Programm durchlässt, denn PP beachtet obige Konfiguration der Windows-Firewall (*) nicht ! Nur Programme die in der Windows-Firewall ausdrücklich auf "geblockt" stehen, werden geblockt.
Workaround: Ich muss nach Installationen eine Zeitlang ohne PP online gehen, bis mit WFC alles abgearbeitet ist was hochkommt. Nicht gut.

Ok, WFC rafft das VPN nicht.
"...PP das Programm durchlässt.." -> PP lässt gar nix durch, siehe oben was der Client genau macht. Kannst du präzisieren aufgrund welcher der Firewalleinstellungen du denkst das das nicht funktioniert?

Szenario 2: Drucken im Netzwerk
Geht nicht mit PP, weil PP den Fritzbox-USB-Fernanschluss blockt. Damit haben sich die Optionen "Firewall bei Programmstart aktivieren" und "Firewall dauerhaft aktivieren" erledigt, denn zum Drucken muss ich die PP-Firewall beenden können. Womit sich geschütztes Surfen "nebenbei" auch erledigt hat.
Vermutlich versucht der Fritzbox-USB-Fernanschluss die Cloud, aka das Internet, zu erreichen. Das wird natürlich blockiert wenn es nicht über VPN geht. Da kann man auch nix dran ändern, sonst würde man ja seine REAL IP leaken.

Szenario 3: Blocken von Systemtasks
Jetzt wird's richtig nervig. PP blockt die Tasks svhost, dashost und "NT Kernel & System" - Das ist nach Lars ein Feature, sicher gut begründet und sinnvoll. ABER: Die WFC meldet das Blocken rund 3x pro Minute per Requester.
Ok WFC ist kacke, was soll ich da machen? Ich kann ja jetzt nicht DNS erlauben, nur weil du von den Meldungen von irgend einem Programm genervt bist.

Idee: Die drei Tasks in der Windows-Firewall im Öffentlichen Netz (wo PP ist) blocken. Nützt nichts! PP beachtet gerade bei diesen Tasks die Einstellung der windows-Firewall nicht, selbst wenn es eine Block-Rule ist. traut man dem User nicht?
LOL, ne, auf gar keinen Fall trauen wir dem user, nichtmal so weit wie ich ihn werfen könnte ;D
Ne aber ernsthaft, 99 % der user haben keinen Plan (jetzt mal abgesehen von den paar hier im Forum), und/oder einen verfriemelten Computer. Da macht es schon Sinn sich NICHT da drauf zu verlassen und einfach sichere Firewallregeln zu setzen.
Wer meint er hat alles im Griff und wer selber seine Firewall konfigurieren möchte oder spezial Krams will, der kann sich das auch selber konfigurieren und braucht die automatischen Firewall Einstellungen vom Client nicht.

Und: Im Bezug da drauf was der Client wirklich macht (siehe oben), was bedeutet: "PP beachtet gerade bei diesen Tasks die Einstellung der windows-Firewall nicht" ?

Bei mir hat Perfect Privacy mit der Windows Firewall und Verbindungen einzelner Programme/Dateien sperren nie funktioniert.
Wie auch @Nytro87 kann ich das nicht nachvollziehen. Du erstellst ein Firewall Regel ,outgoing, sagst Programm xy blocken, und es kommt trotzdem ins Internet? Halte ich erstmal für ein Gerücht. Windows priorisiert block vor allow, also eine blocking Regel wird von nichts überschrieben was der Client macht. (was der client genau macht: siehe oben)

können bspw. mit Comodo Firewall konfiguriert werden
Wenn du Firewalling über eine Externe Firewall macht, hast du praktisch garantiert ein IP leak.
Z.b. Setzt der Client eine relativ komplizierte Regel die aussagt: "Blockiere alles von 'Internet' zu 'NICHT die internen VPN IP'" Dafür muss die Firewall Regel vom Client die interne VPN IP wissen. Macht man das nicht, ist man mindestens anfällig für das hier: https://www.perfect-privacy.com/blog/2015/12/21/wrong-way-security-problem-exposes-real-ip/
Ausserdem gibts ein Regel die sagt: "erlaube connections zu den IPs der VPN server". Dafür muss die Firewall die IPs der VPN Server kennen. Macht man das nicht, kann man z.b. bei IPSEC kein leak verhindern, weil man bei IPSEC im Gegensatz zu OpenVPN nicht einfach nur die .exe erlauben kann.


Und noch was: Könnt ihr beiden (@deltay, @Wcon) mal in eure Firewall Einstellungen schauen ob da sowas steht wie "Ihre Firewall wird durch ein Drittanbieter Programm verwaltet?"
https://community.norton.com/en/system/files/u2114233/20160617134137.png
Das passiert nämlich wenn man Comodo/Kaspersky/Norton oder so einen Mist installiert. Dann kann man Windows Firewall Regel mässig machen was man will, die können das dann einfach überschreiben. Das ist aber meistens relativ dumm, weil die Programm ja nichts davon wissen das man ein IP leak verhindern will und dann dinge erlauben, die man nicht erlauben möchte.


Grüße
Lars
 
Solution
Und noch was: Könnt ihr beiden (@deltay, @Wcon) mal in eure Firewall Einstellungen schauen ob da sowas steht wie "Ihre Firewall wird durch ein Drittanbieter Programm verwaltet?"
Nein, als ich den PP Multi-Hop-Client installiert hatte, hatte ich keine andere Drittanbieter-Firewall installiert, habe das gerade auf einem anderen Rechner gegengecheckt.

Wie auch @Nytro87 kann ich das nicht nachvollziehen. Du erstellst ein Firewall Regel ,outgoing, sagst Programm xy blocken, und es kommt trotzdem ins Internet? Halte ich erstmal für ein Gerücht.
So wie ich Dich jetzt verstanden habe, sollte man auf "windows firewall control" unter Verwendung von PP mit der Windows Firewall verzichten. In Ordnung. Aber wie bringe ich der Windows Firewall bei, dass die mich vorher fragt, welches Programm ins Internet connecten darf und welches nicht? Das geht meiner Meinung nach nicht mit der Windows Firewall. Ich kann zwar vorher ein paar Programme auswählen, die nicht ins Internet dürfen, aber ich will es anders herum haben: Es soll von Anfang an nur das ins Internet connecten dürfen, was ich vorher "zugelassen" habe.

Und da ist meine Erfahrung mit der Windwos Firewall schlecht. Auch war ich mir dann nicht sicher, welche Systemdateien (sowas wie svchost.exe) ich zulassen soll und welche nicht.

Daher würde ich Dich lieber @PP Lars herzlich darum bitten, ob Du mal eine Anleitung (oder youtube Video) erstellen könntest, wie man das genau machen kann?! :). Es würde ja ausreichen, wenn Du es anhand einer normalen Windows 8.1 oder Windows 10 Version demonstrieren könntest, was dafür vorher "freigeschaltet" werden muss oder nicht. Dateien wie Thunderbird oder Mozilla Firefox könnte ich dann selber freischalten, aber ich bräuchte einfach mal jemand, der mir wirklich sagen kann, wie das funktioniert.

Und nicht nur so nach dem Motto "Eigentlich müsstest Du nur..... dann müsste das funktionieren... da spricht nichts dagegen.... hier noch ein Klick und an dieser Stelle... und fertig... Konnte es aber selber nicht testen, müsste aber bei Dir funktionieren..."

Das wäre einfach super nett Lars :), wenn Du das wirklich mal mit Screens oder per Video dokumentieren könntest. Ich will einfach erreichen, dass die Windows Firewall "nichts" rauslässt und nur das, was ich vorher freigegeben habe.

Lieben Dank an Lars und die anderen Forenmitglieder.


P.S. Die Comodo Fiewall hat für die Systemdateien, die unbedingt Zugriff aufs Internet benötigen, als vorgefertigte Regel den Firewall-Einstellungen bei Comodo hinzugefügt. Da muss ich die Dinger nicht einzeln "freischalten", sondern eben nur die Programme, die raussenden dürfen. Wenn sich jetzt z.B. die Datei CanonPrinter.exe meldet, bekomme ich bei Comodo ein Auswahlfenster zu Freigeben oder Blockieren. Darauf könnte ich verzichten, wenn die Windows Firewall es dann einfach nur "blockieren" würde.
 
Last edited:
Dass PP die Blocking Regeln der WFW beachtet steht nicht ausser Frage. Kann jeder prüfen, indem er seinen Browser blockt. Da geht nichts mehr.

Warum benutze ich die WFC? Weil es die einzige Möglichkeit ist, halbwegs komfortabel etwas Kontrolle über den Traffic zu bekommen.

"Ok, WFC rafft das VPN nicht." - Man könnte auch sagen: PP rafft WFC nicht.
"PP lässt gar nix durch, siehe oben was der Client genau macht." - Eben nicht, PP lässt alles durch, was nicht ausdrücklich geblockt ist. Bsp: Es existiert keine Regel für Firefox in meiner WFW und trotzdem komm ich locker damit ins Netz

"A) Er setzt die default connection option auf blocking, für alle Netze, also public, private und domain." - Das stimmt, funktioniert aber nicht.

Test:
1) WFW alles auf erlauben setzen.
2) PP starten => Regel für ausgehende Verbindungen ändert sich zu "alles blockieren was nicht ausdrücklich erlaubt ist"

Soweit alles gut. Jetzt aber:

3) Regel "Erlauben" für Thunderbird löschen. (Nach obiger Regel müsste Thunderbird nun durch PP gesperrt werden)
4) Email senden und empfangen, geht einwandfrei
5 ) Ergebnis: Nix Blocking

Also entweder kann mir Lars das nicht erklären oder hier liegt ein kapitales Leck durch eine Programmierfehler vor, wie Wcon schon schrieb. Dass es nicht im Sinne der PP-Erfinder ist, ist jetzt klar.

Und nein, ich habe keine Firewall-Software laufen.
 
PP macht mich noch wahnsinnig:

Das USB-Fern-Anschluss-Problem ist gelöst, und zwar muss man in der WFW ausdrücklich eine "erlauben"-Regel dafür einrichten. Dann lässt es PP durch.

Also ausgerechnet (nur?) bei diesem Programm hält sich PP an die eigene Regel (Alles blocken was nicht erlaubt ist), wer hätte das vermutet?
 
Irrtum, das Fritzbox-USB-Fernanschluss-Problem ist nicht gelöst.

Nach ein paar Minuten deaktiviert PP die Erlauben Regel. Selbst wenn man nur lokale Netzwerk-Adressen erlaubt.

Zurück auf Los, also....
 
Back
Top