Split Tunneling

Headcool

Junior Member
Hi, ich wollte mal fragen ob ihr Split Tunneling (auf Applikationsebene, nicht auf Basis von Routen) in euren VPN Manager einbauen könntet.
Dabei geht es um die Möglichkeit bestimmte Anwendungen vom VPN auszunehmen bzw. nur diese über das VPN laufen zu lassen.
Das hätte den Vorteil, dass man für größere Downloads die entsprechenden Anwendungen (zb. JDownloader) vom VPN exkludieren könnte um A bessere Downloadgeschwindigkeiten zu erreichen und B die Server nicht mit Terabytes an Daten zu überhäufen.
Außerdem könnte man Latenz-sensitive Anwendung wie VoIP und Online Spiele exkludieren.

Unglücklicherweise sind die einzigen VPN Anbieter die ich finden konnte, die Clients haben welche Split Tunneling unterstützen, pureVPN (nur Inklusion) und astrill (Inklusion und Exklusion). Da ich allerdings von diesen Anbietern nicht viel halte und ihr einen qualitativ guten aber auch teuren Service bietet, denke ich, dass ihr die Richtigen seid um so ein Feature anzubieten.
 
Ich kenne Split Tunneling nur auf Basis von Routen, nicht auf Applikationsebene. Du meinst wahrscheinlich Proxyfunktionen in den Applikationen, aber kein VPN. Ein VPN ist ein virtuelles Netz, das über Routing funktioniert. Um Ausnahmen zu schaffen muss ich die Routing Tabelle bearbeiten bzw policy based Routing verwenden. Dort kann ich aber nicht sagen, dass Anwendung A nicht über VPN soll und Anwendung B schon, sondern ich muss Pakete markieren (mittels zb iptables) oder Netze definieren, die vom VPN ausgenommen werden sollen.
 
Ich weiß nicht ob Split Tunneling die korrekte Bezeichnung für dieses Feature ist (pureVPN nennt es so), auf jeden Fall geht es definitiv um VPN und nicht um das Verwenden von irgendwelchen Proxyeinstellungen. Ich kann dir auch nicht erklären wie es funktioniert, dennoch gibt mindestens 2 Implementationen: Astrill und pureVPN.
 
Über pureVPN (dort im Vergleichstest) bin ich über Google auf diesen Beitrag gestossen:
Fazit:
„Perfect Privacy“ – als wäre der Namen schon Programm. Der Anbieter sitzt in der Schweiz und treibt einen enormen Aufwand, um seine Benutzer anonym zu halten. Selbst Regierungsanfragen lassen es nicht zu, dass Daten der Benutzer öffentlich werden könnten, dafür sorgen spezielle Absicherungen und der Verzicht auf jegliche Speicherung von Benutzerdaten! Absolut empfehlenswert, wenn es um die eigene Privatsphäre geht. Die paar Euro mehr pro Monat sind es durchaus wert, dafür hat man einen verlässlichen VPN Anbieter, dem man vertrauen kann!

http://vpn-anbieter-vergleich-test.de/perfect-privacy/
 
Wenn es über OpenVPN geht, funktioniert das nur übers Routing. Laut Website auch nur bei Programmen, die nicht das UDP Protokoll verwenden. Ne simple Lösung das für TCP und UDP Programme zu ermöglichen wäre ne virtuelle Maschine in der kein VPN läuft. Du kannst alle Programme, die nur über VPN ins Netz sollen aus dem Hostsystem starten und alle Programme, die ohne VPN ins Netz sollen aus dem Gastsystem. Ist definitiv die zuverlässigste Lösung.
 
Wenn es über OpenVPN geht, funktioniert das nur übers Routing. Laut Website auch nur bei Programmen, die nicht das UDP Protokoll verwenden. Ne simple Lösung das für TCP und UDP Programme zu ermöglichen wäre ne virtuelle Maschine in der kein VPN läuft. Du kannst alle Programme, die nur über VPN ins Netz sollen aus dem Hostsystem starten und alle Programme, die ohne VPN ins Netz sollen aus dem Gastsystem. Ist definitiv die zuverlässigste Lösung.

Naja zumindestens die Lösung von Astrill verwendet ja auch OpenVPN. D.h. entweder haben sie OpenVPN verändert, dann müssten sie irgendwo den Source veröffentlicht haben da dieser ja unter GPL steht oder sie verwenden irgendeine eine Möglichkeit außerhalb um irgendwie das VPN zu umgehen zb. mittels Instrumentation. Dass Astrill kein UDP split tunneln kann muss nicht zwangsläufig heißen, dass es nicht möglich ist.

Die Methode über eine VM ist mir bekannt, jedoch meiner Meinung nach viel zu umständlich.
 
Naja zumindestens die Lösung von Astrill verwendet ja auch OpenVPN. D.h. entweder haben sie OpenVPN verändert, dann müssten sie irgendwo den Source veröffentlicht haben da dieser ja unter GPL steht oder sie verwenden irgendeine eine Möglichkeit außerhalb um irgendwie das VPN zu umgehen zb. mittels Instrumentation. Dass Astrill kein UDP split tunneln kann muss nicht zwangsläufig heißen, dass es nicht möglich ist.

Die Methode über eine VM ist mir bekannt, jedoch meiner Meinung nach viel zu umständlich.

Sie haben mit Sicherheit nicht OpenVPN verändert, das wäre auch m.E. ne Sicherheitslücke, denn besser machen sie das bestimmt nicht...Die naheliegenste Lösung ist, dass sie Pakete markieren, die von bestimmten Apps kommen und diese dann einer Route am VPN vorbei zuführen. Dass es nur mit TCP funktioniert unterstreicht das, denn UDP ist ein zustandsloses Protokoll, wo man nicht anhand der Zustände unterscheiden kann wo das herkommt etc.

Man kann UDP Split-Tunneln, aber dann wohl nicht nach Applications unterschieden, sondern nur nach Ziel-IPs, was definitiv geht.

Die Lösung mit der VM ist evtl etwas aufwändiger, aber funktioniert wenigstens ohne Einschränkungen vom Protokoll her und zuverlässig. Bei dem anderen musst du dich stets drauf verlassen, dass der Traffic auch tatsächlich am VPN vorbei geht oder eben durch, das wäre mir zu unsicher. Je umfangreicher so ne Software wird umso höher auch die Fehleranfälligkeit...
 
Man kann UDP Split-Tunneln, aber dann wohl nicht nach Applications unterschieden, sondern nur nach Ziel-IPs, was definitiv geht.

Naja letzendlich ist eine VM auch nur ein Programm das auf dem Rechner läuft. Die Pakete daraus können am VPN "vorbeigeschmuggelt" werden, unabhängig von Protokoll. Man müsste eigentlich nur ein Programm entwerfen, welches wie eine Firewall alle Pakete überwacht und sie dann abhängig vom gesendeten Programm entweder normal weiterleitet oder eben gebridget.

Die Lösung mit der VM ist evtl etwas aufwändiger, aber funktioniert wenigstens ohne Einschränkungen vom Protokoll her und zuverlässig. Bei dem anderen musst du dich stets drauf verlassen, dass der Traffic auch tatsächlich am VPN vorbei geht oder eben durch, das wäre mir zu unsicher. Je umfangreicher so ne Software wird umso höher auch die Fehleranfälligkeit...

Alle anderen Applikation kann man ja per Firewall aussperren - so eine Art manueller Killswitch. Für die Programme die dann um das VPN herumgeleitet werden muss man dann halt Ausnahmen hinzufügen.

Abgesehen davon ist die Verwendung von Split Tunneling nicht zwangläufig unsicherer auch wenn das oft so dargestellt wird. Wenn die gesamte Kommunikation über das VPN läuft, dann inklusive aller Programme die sonstwasweißich darüber senden. Inklusive der Dienste bei denen man seinen echten Namen oder Bezahlinformationen hinterlegt hat. So lässt sich schnell eine Verknüpfung zwischen IP und Namen herstellen obwohl ja genau das einer der Gründe wäre ein VPN zu verwenden.
 
In der VM soll ja auch kein VPN laufen, falls du meinen Post etwas vorher gelesen hast. Das VPN läuft im Hostsystem, die VM greift gebridged direkt auf den LAN Adapter zu und damit am VPN vorbei. Alles was nicht über VPN laufen soll starte ich in der VM, der Rest im Hostsystem. Weiß da jetzt echt nicht wo das Problem sein soll, im Unterschied zu deiner Lösung die vor möglichen Problemen spicken kann...Die VM Lösung funktioniert zu 100% zuverlässig, sowohl UDP als auch TCP Traffic geht am VPN vorbei während im Hostsystem sowohl UDP wie auch TCP Traffic durchs VPN geht.

Alle anderen Applikation kann man ja per Firewall aussperren - so eine Art manueller Killswitch. Für die Programme die dann um das VPN herumgeleitet werden muss man dann halt Ausnahmen hinzufügen.

Abgesehen davon ist die Verwendung von Split Tunneling nicht zwangläufig unsicherer auch wenn das oft so dargestellt wird. Wenn die gesamte Kommunikation über das VPN läuft, dann inklusive aller Programme die sonstwasweißich darüber senden. Inklusive der Dienste bei denen man seinen echten Namen oder Bezahlinformationen hinterlegt hat. So lässt sich schnell eine Verknüpfung zwischen IP und Namen herstellen obwohl ja genau das einer der Gründe wäre ein VPN zu verwenden.

Ich brauch kein Split Tunneling und es ist definitiv unsicherer als wenn sauber alles durch VPN geht oder eben gar nix. Bräuchte ich es würde ich in jedem Fall die VM Lösung bevorzugen weil sauberer, auch wenn du anderer Ansicht bist. Allein die Aussage im Astrill Wiki das Feature auf Applikationsebene nur für TCP zu verwenden und ansonsten das Feature mit IP Split Tunneling zu verwenden ist doch gefrickel....

Ebenso das Split Tunneling auf IP Ebene ist nix, da grosse Websites aus einer Vielzahl von IPs bestehen. Viel Spass das alles in die Ausnahmeliste hinzuzufügen...
 
Und da ich über mehr als einen Rechner verfüge stellt sich bei mir noch nichtmal die Frage nach der VM, denn das was durch VPN soll, starte ich auf dem wo grad VPN läuft und umgekehrt, was die absolut sauberste Lösung ist.
 
In der VM soll ja auch kein VPN laufen, falls du meinen Post etwas vorher gelesen hast. Das VPN läuft im Hostsystem, die VM greift gebridged direkt auf den LAN Adapter zu und damit am VPN vorbei. Alles was nicht über VPN laufen soll starte ich in der VM, der Rest im Hostsystem. Weiß da jetzt echt nicht wo das Problem sein soll, im Unterschied zu deiner Lösung die vor möglichen Problemen spicken kann...Die VM Lösung funktioniert zu 100% zuverlässig, sowohl UDP als auch TCP Traffic geht am VPN vorbei während im Hostsystem sowohl UDP wie auch TCP Traffic durchs VPN geht.

Ist mir völlig klar, dass in der VM kein VPN laufen soll.

Mir gefällt die Lösung nicht weil sie kompletter Overkill ist:
a) Wesentlich umständlichere Einrichtung
b) Performanceminderung durch Virtualisierung
c) Benötigt enorm viel Platz bei großen Downloads die dem Host-System dann dauerhaft fehlen, auch wenn sie im Client nicht in Verwendung sind
d) Muss man jedes mal starten wenn man was ohne VPN betreiben will
e) Grafikbeschleunigung unter aller Sau

Ich sehe kein Problem ein Programm zu entwerfen, welches abhängig von Programmpfad Pakete normal an das VPN weitergibt oder es eben umgeht (wie man das auch immer anstellen mag).
Ich sehe auch kein Problem das auch für UDP zu implementieren.

Ich brauch kein Split Tunneling und es ist definitiv unsicherer als wenn sauber alles durch VPN geht oder eben gar nix. Bräuchte ich es würde ich in jedem Fall die VM Lösung bevorzugen weil sauberer, auch wenn du anderer Ansicht bist. Allein die Aussage im Astrill Wiki das Feature auf Applikationsebene nur für TCP zu verwenden und ansonsten das Feature mit IP Split Tunneling zu verwenden ist doch gefrickel....

Ebenso das Split Tunneling auf IP Ebene ist nix, da grosse Websites aus einer Vielzahl von IPs bestehen. Viel Spass das alles in die Ausnahmeliste hinzuzufügen...

Split Tunneling ist nicht definitiv unsicherer als wenn alles sauber durchs VPN geht. Wenn du alles durch VPN durchleitest dann zb. auch die Dienste bei denen du deinen echten Namen verwendest. D.h. das bspw. dein E-mail Provider deinen echten Namen mit deiner VPN IP in Verbindung bringen kann sobald dein E-Mail-Client die Mails deiner "richtigen" E-Mail Adresse holen wil. Damit ist der Anonymisierungseffekt komplett weg.

Ich finde die Implementation von Astrill ohne UDP auch ungenügend, aber ich verwende sie ja auch nicht. Von IP Split Tunneling halte ich nichts, aus den von dir genannte Gründen.

Ich sehe auch keinen Grund wieso eine saubere Implemenation die TCP und UDP untestützt unsicherer sein sollte als eine VM. Natürlich kann in so einem Programm ein Bug sein der alle Pakete ohne VPN durchschleust. Aber genauso kann ein Bug in einem Virualisierungssystem das Gleiche verursachen. Abgesehen davon sagst du selbst je umfangreicher die Software desto fehleranfälliger.
 
Ich sehe auch keinen Grund wieso eine saubere Implemenation die TCP und UDP untestützt unsicherer sein sollte als eine VM. Natürlich kann in so einem Programm ein Bug sein der alle Pakete ohne VPN durchschleust. Aber genauso kann ein Bug in einem Virualisierungssystem das Gleiche verursachen. Abgesehen davon sagst du selbst je umfangreicher die Software desto fehleranfälliger.

Gut ich wiederhole es nochmal...In der VM läuft gar kein VPN, ok? Es könnte also ein Bug höchstens etwas durch VPN hindurchschleusen, als dran vorbei. Es wäre aber auch andersrum komplett an den Haaren herbeigezogen, dass ein Bug in einer VM genau so etwas herbeiführt. Ich geb dir Recht, dass in einer VM ein Bug enthalten sein kann, dass der sich aber genau so auswirkt halte ich für Quatsch.

Abgesehen davon sagst du selbst je umfangreicher die Software desto fehleranfälliger.

Damit mein ich folgendes: Ein VPN Manager soll im Kern eben genau eine VPN Verbindung aufbauen. Er soll eigentlich keine Firewall realisieren etc, was bereits deutlich über den Kern hinausgeht. Das alles macht der Manager aber bereits und das ist m.E genug. Die VM will auch nur virtualisieren und nicht zeitgleich noch ne Firewall, n Virenscanner und n First-Person-Shooter sein...
Jetzt dort noch ne halbgare weitere Lösung einbauen, deren Nutzen recht zweifelhaft ist und die Unsicherheiten aufweist bringt doch nix, dafür kann man auch Spezialisten wie ne VM verwenden, mit denen man das super hinkriegt. Bischen Eigeninitiative muss man halt schon haben und nicht immer erwarten alles vorgekaut zu kriegen...

Wenn du alles durch VPN durchleitest dann zb. auch die Dienste bei denen du deinen echten Namen verwendest. D.h. das bspw. dein E-mail Provider deinen echten Namen mit deiner VPN IP in Verbindung bringen kann sobald dein E-Mail-Client die Mails deiner "richtigen" E-Mail Adresse holen wil. Damit ist der Anonymisierungseffekt komplett weg.

Ich such grad die Logik dahinter...Wenn ich mein Mailprog zu den VPN Ausnahmen hinzufüge hab ich auch keinen Anonymisierungseffekt. Das macht kein Sinn, was du hier anführst.
 
@Headcool Hier bei PP hast du doch die Möglichkeit ohne Umstände auf Socks oder Squid zuzugreifen. Das dürfte dir doch helfen. SSH + Socks und dann ist es sogar verschlüsselt. Jack ist hier unser Großmeister für solcherlei Sachen. Unter OS X lasse ich so z.B. Firefox flitzen.
 
Jack ist hier unser Großmeister für solcherlei Sachen.

Das mit Sicherheit nicht ;)

Es soll halt Sinn machen das ganze. Ich kann verstehen, dass es Fälle gibt, wo ich mal auf VPN verzichten muss. Dabei stellt sich aber halt echt die Frage, ob man dafür nicht einfach mal die VPN Verbindung trennen kann und direkt ins Netz geht. Das mach ich so genauso und seh echt kein Problem drin. Notfalls wenn ich das absolut nicht will, hilft mir immer noch ne VM, ohne dass PP jetzt wieder zig Features in ihren Manager integrieren muss, die m.E. nen recht geringen Stellenwert haben.

Da wäre allenfalls n Feature deutlich besser, dass man auch non PP Server als VPN integrieren kann, so wie das im normalen OpenVPN Client auch geht.
 
Das routen nach Ursprung der Pakete ist auf Neudeutsch eine "kludge". Bei Linux hat man das deshalb mangels sinnvollen Nutzens auch wieder verworfen. Es geht über Umwege aber immer noch:
Software als spezieller run user laufen lassen und dann die Pakete mit advanced routing nach user sortieren und unterschiedliche rules/tables aufsetzen.

Die Frage ist nur, ob es mit target-routing nicht auch einfacher und effizenter geht.
Wenn man nicht gerade irgendwelche Zugriffe auf high-performance Webserver bei Akamai hat, die täglich wechseln, kann man einfach auch die paar routen eintragen und fertig.
Hab ich z.B. für M$-updates gemacht, damit die nicht sofort wissen, wer da die updates requested ... Nutzen ist zwar fraglich, aber es ist bequem den kompletten M$ traffic über ein interface zu routen.
Die routes sind dabei zum Teil /16 Netze:
Code:
...
/sbin/route add -net 207.46.0.0 netmask 255.255.0.0 gw $route_vpn_gateway

NetRange:  207.46.0.0 - 207.46.255.255
CIDR:  207.46.0.0/16
NetName:  MICROSOFT-GLOBAL-NET
...
Sowas geht auch bei windoof, wenn auch mit etwas umständlicher Syntax.
Wenn es um mail-provider geht, sind es meist nur max 5 IPs, die gerouted werden müssen
 
Gut ich wiederhole es nochmal...In der VM läuft gar kein VPN, ok? Es könnte also ein Bug höchstens etwas durch VPN hindurchschleusen, als dran vorbei. Es wäre aber auch andersrum komplett an den Haaren herbeigezogen, dass ein Bug in einer VM genau so etwas herbeiführt. Ich geb dir Recht, dass in einer VM ein Bug enthalten sein kann, dass der sich aber genau so auswirkt halte ich für Quatsch.

Ein Bug kann alles mögliche verursachen auch wenn die Auswirkungen komplett unlogisch erscheinen. Vor allem wenn er in einem Virtualisierungsprogramm auftritt, welches Ring 0 Zugriff hat und damit auch auf andere Applikationen zugreifen kann.
Mit Bugs zu argumentieren halte ich trotzdem für vollkommen abwegig. Es könnte tausende Bugs in verschiedenster Software geben. Es könnte sein dass das Emailprogram die PGP Verschlüsselung nicht immer richtig macht, es könnte sein dass der Browser beim HTTPS Protokoll manchmal was vermurkst. Es könnte könnte könnte...
Ich bin mir sicher, dass es solche Bugs gibt, aber schützen davor kann man sich nicht mal abgesehen vom kompletten Verzicht von moderner Technik.

Damit mein ich folgendes: Ein VPN Manager soll im Kern eben genau eine VPN Verbindung aufbauen. Er soll eigentlich keine Firewall realisieren etc, was bereits deutlich über den Kern hinausgeht. Das alles macht der Manager aber bereits und das ist m.E genug. Die VM will auch nur virtualisieren und nicht zeitgleich noch ne Firewall, n Virenscanner und n First-Person-Shooter sein...
Jetzt dort noch ne halbgare weitere Lösung einbauen, deren Nutzen recht zweifelhaft ist und die Unsicherheiten aufweist bringt doch nix, dafür kann man auch Spezialisten wie ne VM verwenden, mit denen man das super hinkriegt. Bischen Eigeninitiative muss man halt schon haben und nicht immer erwarten alles vorgekaut zu kriegen...

Niemand verlangt, dass der VPN Manager etwas abwegiges machen soll. Er soll ein Feature bieten, das eigentlich selbstverständlich sein sollte. Die Tatsache, dass entweder alles oder gar nichts über das VPN laufen sollte ist eine gewaltige Einschränkung und macht auch keinen Sinn.
Und was du mit einere weiteren "halbgaren Lösung" meinst versteh ich auch nicht. Es hört sich so an als ob du der Meinung wärst die Leute bei PP wären völlig inkompetent und könnten keine 10 fehlerfreien Zeilen Code schreiben.
Außerdem habe ich schon erklärt, wieso der Workaround per VM nicht die Anforderungen erfüllt. Hat nichts mit fehlender Eigeninitiative zu tun, wenn der von dir gebrachte Vorschlag nicht alle Uses-Cases abdeckt.


Ich such grad die Logik dahinter...Wenn ich mein Mailprog zu den VPN Ausnahmen hinzufüge hab ich auch keinen Anonymisierungseffekt. Das macht kein Sinn, was du hier anführst.

Macht schon Sinn. Der E-Mail Anbieter kennt deinen Namen ja schon, den ich sprache ja von deiner richtigen E-mail adresse. Wenn du jetzt aber mit VPN zugreifst, kennt der E-Mail Anbieter nicht nur deinen echten Namen sondern auch deine VPN IP.
Das heißt man kann dich mit allen Dingen in Verbindung bringen die du mit dieser IP machst. Deswegen macht es Sinn alle Dienste bei denen man seinen echten Namen oder eine nicht anoynme Bezahlweise verwendet hat nicht übers VPN laufen zu lassen, weil man sonst Spuren hinterlässt.

@Headcool Hier bei PP hast du doch die Möglichkeit ohne Umstände auf Socks oder Squid zuzugreifen. Das dürfte dir doch helfen. SSH + Socks und dann ist es sogar verschlüsselt. Jack ist hier unser Großmeister für solcherlei Sachen. Unter OS X lasse ich so z.B. Firefox flitzen.

Das ist eine praktische Lösung wenn man nur für ein paar einzelne Programme Verschlüsselung + Anonymisierung haben will. Ich will allerdings keine "Whitelist" sondern eine "Blacklist". D.h. fast alles soll verschlüsselt und anonymisiert laufen, wobei es einzelne Ausnahmen gibt. Bei dieser Lösung müsste ich dann hunderte Programme entsprechend konfigurieren wobei sich nicht bei jedem Programm möglich ist.

Das mit Sicherheit nicht ;)

Es soll halt Sinn machen das ganze. Ich kann verstehen, dass es Fälle gibt, wo ich mal auf VPN verzichten muss. Dabei stellt sich aber halt echt die Frage, ob man dafür nicht einfach mal die VPN Verbindung trennen kann und direkt ins Netz geht. Das mach ich so genauso und seh echt kein Problem drin. Notfalls wenn ich das absolut nicht will, hilft mir immer noch ne VM, ohne dass PP jetzt wieder zig Features in ihren Manager integrieren muss, die m.E. nen recht geringen Stellenwert haben.

Da wäre allenfalls n Feature deutlich besser, dass man auch non PP Server als VPN integrieren kann, so wie das im normalen OpenVPN Client auch geht.

So ein Fall läuft bei mir ca 50% der Zeit nebenbei, aber deswegen kann ich das VPN doch nicht zu 50% der Zeit komplett ausschalten. Außerdem geht es nicht um "zig" Features sondern um eines, eines welches viele Nutzer ab und zu benötigen würden.

Sowas geht auch bei windoof, wenn auch mit etwas umständlicher Syntax.
Wenn es um mail-provider geht, sind es meist nur max 5 IPs, die gerouted werden müssen

Wenn es um einen Browser geht oder um ein anderes Programm, welches sich zu jedweder IP verbinden kann ist das ganze etwas problematisch.
 
Last edited:
Ein Bug kann alles mögliche verursachen auch wenn die Auswirkungen komplett unlogisch erscheinen.

Es ging darum, dass es nicht sein kann, dass ein Bug etwas am VPN vorbeischleust, also ein IP Leak entsteht, da die VM ohne VPN arbeitet. Der umgekehrte Fall, dass durch einen Bug etwas aus der VM durch den VPN Tunnel gelangen sollte wäre nicht weiter wild, da kein IP Leak.

Niemand verlangt, dass der VPN Manager etwas abwegiges machen soll. Er soll ein Feature bieten, das eigentlich selbstverständlich sein sollte. Die Tatsache, dass entweder alles oder gar nichts über das VPN laufen sollte ist eine gewaltige Einschränkung und macht auch keinen Sinn.

Ein VPN stellt in erster Linie einen gesicherten Zugang in ein entferntes Netz dar. Das kann das LAN einer Firma sein oder auch das gesamte Internet. Im Falle des Internets ist die Tatsache, dass entweder alles oder gar nichts über VPN läuft genau das, was dir OpenVPN vorgibt. Entweder biegt das Routing deinen gesamten Traffic über VPN oder eben nicht. Wenn du das anders möchtest hast du alle Möglichkeiten am Routing Änderungen vorzunehmen um es an deine Wünsche anzupassen. Dazu bietet jedes OS unterschiedliche Herangehensweisen.
Dennoch sag ich, dass dein Split Tunneling auf Applikationsebene nicht sauber umzusetzen ist. Unter Linux ist der Vorschlag von theoth n Ansatz, das über run user und LARTC zu regeln. Aber auch das kannst du mit Eigeninitiative selbst umsetzen.

...versteh ich auch nicht.

Dann interpretier nicht irgendwas hinein, wenn du es schon nicht verstehst. Halbgar heißt, dass es nicht sauber zu implementieren ist. Ich würde mich darauf nicht verlassen wollen, schon gar nicht in dem Fall, dass ich darüber einzelne Programme über VPN leiten möchte. Da wäre mir das Risiko eines IP Leaks viel zu groß.

Das heißt man kann dich mit allen Dingen in Verbindung bringen die du mit dieser IP machst.

Auch hier verstehst du das Prinzip VPN nicht. Ein User A, der zu PP verbunden ist surft über dieselbe Server-IP wie ein User B, sofern er denselben Server nutzt wie User B. Du kannst überhaupt nichts mir zuordnen, was ich mit dieser IP gemacht habe, da 100 andere User dieselbe IP verwenden.
Natürlich sieht mein Mailprovider wer ich bin, sofern ich mich mit meinem Klarnamen registriert habe, aber das sieh´t er immer, dazu benötige ich kein Split Tunneling. Weitere Zuordnungen darüberhinaus sind nicht möglich.

Ich meine wenn dir dieses Feature so ungemein wichtig ist und du es nicht selbst hinkriegst es mit Bordmitteln zu realisieren, kannst du ja auch zu Astrill und Co gehen. Denen traust du aber irgendwie nicht, womit du wahrscheinlich auch recht hast.
 
Es ging darum, dass es nicht sein kann, dass ein Bug etwas am VPN vorbeischleust, also ein IP Leak entsteht, da die VM ohne VPN arbeitet. Der umgekehrte Fall, dass durch einen Bug etwas aus der VM durch den VPN Tunnel gelangen sollte wäre nicht weiter wild, da kein IP Leak.

Ich habe dir schon gesagt, dass ein Bug völlig zufällige Auswirkungen haben kann. Ein Bug kann deine Pornos zippen und an deine Oma per E-Mail senden oder dein Festplatte formatieren, wenn du Pech hast. Es gibt nichts was nicht passieren könnte was per Software möglich ist. Wahrscheinlich ist das aber alles nicht. Normalerweise treten bestimmte Bugs an bestimmten Orten auf.

Der Ort an dem ein Bug in dem von mir vorgestellten Feature auftreten könnte wäre der an dem man überprüft ob die Quelle eines Paketes mit einem Programm aus der Exclude- bzw Includeliste übereinstimmt.
Das sind keine 20 Codezeilen. Die kann man definitiv Bugfrei halten. So eine Methode könnte man auch mittels Fuzzing milliardenfach mit Zufallsdaten testen.

Ein VPN stellt in erster Linie einen gesicherten Zugang in ein entferntes Netz dar. Das kann das LAN einer Firma sein oder auch das gesamte Internet. Im Falle des Internets ist die Tatsache, dass entweder alles oder gar nichts über VPN läuft genau das, was dir OpenVPN vorgibt. Entweder biegt das Routing deinen gesamten Traffic über VPN oder eben nicht. Wenn du das anders möchtest hast du alle Möglichkeiten am Routing Änderungen vorzunehmen um es an deine Wünsche anzupassen. Dazu bietet jedes OS unterschiedliche Herangehensweisen.

VPNs haben viele Einsatzzwecke. Manchen geht es um die Verschlüsselung, manchen um die Anonymisierung, manchen um den Zugriff auf entfernes LAN, manchen um mehrere dieser Aspekte. Beim PP VPN geht es aber eher um erste zwei den letzteres muss ein Unternehmen schon selbst bereitstellen.
In meinem Fall scheint das OS nicht über eine implementierete Herangehensweise zu verfügen. Heißt aber nicht, dass man sie nicht implementieren kann.


Dennoch sag ich, dass dein Split Tunneling auf Applikationsebene nicht sauber umzusetzen ist. Unter Linux ist der Vorschlag von theoth n Ansatz, das über run user und LARTC zu regeln. Aber auch das kannst du mit Eigeninitiative selbst umsetzen.

Ich verwende kein Linux. Mein System jetzt komplett auf Linux umzustellen wegen eines kleinen Features ist etwas zuviel verlangt. Wenn ich Linux verwenden würde, wäre dieses eine Problem gelöst und ich hätte hunderte neue, weil die entsprechenden Anwendungen nicht mehr unterstützt werden.
Heißt Eigentinitiative jetzt, dass ich alle Programme die ich benötige auf Linux portieren muss?

Dann interpretier nicht irgendwas hinein, wenn du es schon nicht verstehst. Halbgar heißt, dass es nicht sauber zu implementieren ist. Ich würde mich darauf nicht verlassen wollen, schon gar nicht in dem Fall, dass ich darüber einzelne Programme über VPN leiten möchte. Da wäre mir das Risiko eines IP Leaks viel zu groß.

Ich kenne die Bedeutung von halbgar. Ich kenne nicht deine Argumentation wieso es nicht sauber zu implementieren sei, kein Wunder du hast sie bis jetzt auch noch Verschwiegen. Wie ich oben schon erwähnt habe geht Wahrscheinlichkeit eines Bug eines IP Leaks gegen 0.

Wenn du echte technische Argumente hast, wieso sich so etwas nicht implementieren lässt, dann bin ich offen dafür, aber nur zu sagen es gäbe die Möglichkeit eines Bugs ist mir echt zu dumm.
Es gibt auch in OpenVPN die Möglichkeit eines Bugs. Es gibt auch die Möglichkeit, dass die Deaktivierung des WebRTC Feature in deinem Browser nicht korrekt funktioniert und deine IP leakt.

Auch hier verstehst du das Prinzip VPN nicht. Ein User A, der zu PP verbunden ist surft über dieselbe Server-IP wie ein User B, sofern er denselben Server nutzt wie User B. Du kannst überhaupt nichts mir zuordnen, was ich mit dieser IP gemacht habe, da 100 andere User dieselbe IP verwenden.
Natürlich sieht mein Mailprovider wer ich bin, sofern ich mich mit meinem Klarnamen registriert habe, aber das sieh´t er immer, dazu benötige ich kein Split Tunneling. Weitere Zuordnungen darüberhinaus sind nicht möglich.

Mir ist klar, dass diese IPs geteilt werden. Ich sagte ja auch nicht, dass man aus diesen Spuren herausleiten könnte, dass du all das getan hast, was mit dieser IP getan wurde. Ich sagte man kann eine Verbindung herstellen. Am Ende besteht ein Zusammenhang zwischen deinem Namen und einer IP mit der allerlei Schweinereien gemacht wurden. Ich würde das nicht wollen und ich denke wenn du ehrlich bist willst da das genausowenig.


Ich meine wenn dir dieses Feature so ungemein wichtig ist und du es nicht selbst hinkriegst es mit Bordmitteln zu realisieren, kannst du ja auch zu Astrill und Co gehen. Denen traust du aber irgendwie nicht, womit du wahrscheinlich auch recht hast.

1) Astrill kann UDP nicht Split Tunneln
2) pureVPN kann nur Inklusion keine Exklusion
3) abgesehen davon traue ich den Anbietern nicht (was nichts mit dem Split Tunneling Feature zu tun hat)
 
Back
Top