Unterschied 2 VPNs zur Kaskade

[protonscycle]

Ich habe einen Router wo ich leider keine Kaskade einstellen kann, sondern nur einen einzigen Server nutzen kann.

Ich möchte allerdings eine Kaskade haben.

Meine Frage lautet, ob ich einfach den VPN Clienten auf meinem Computer starten kann mit einem anderen Server, ist das eine Kaskade, oder ist hier etwas anders geschaltet?

Normal logge ich mich ein und schalte Server 1 direkt hinter Server 2.

Jetzt ist es aber vom Computer Server 1 zum Router Server 2.

Ändert das irgendetwas an der Verschlüsselung oder am Prinzip weil ich mich hier ja im Prinzip zweimal bei Perfect Privacy einlogge, anstatt nur einmal?

Bin ich genauso sicher wie wenn die Server direkt hintereinander geschaltet werden oder nicht?

Würde mich über eine Antwort vom Staff freuen, damit ich auf Nummer sicher bin, danke

 

[stefan555]

Bei der Kaskade wird der Traffic von PP1 zu P22 weitergeleitet und erreicht das Ziel.
Bei VPN-über-VPN genauso, wird allerdings doppelt verschlüsselt. Genauso sicher wirst du sein, allerdings könnte ich mir vorstellen, dass die Geschwindigkeit etwas abnehmen könnte. Welchen Router benutzt du? Hatte PP nie auf einem Router zum Laufen bekommen.

 

[ingo12Maxi]

Ich hatte schon nachgefragt, aber leider keine Antwort bekommen, unter https://vpntester.org/vpn-anbieter/was-ist-vpn-wissen/vpn-multi-hop-verbindungen-einfach-erklaert/ schreibt man: "WARNUNG: Verschachtelte VPN-Verbindungen sind keine Kaskaden“ . In wie weit das Relevant ist, hat bisher noch niemand beantwortet. Ich bin mir da auch nicht sicher.

​

​

 

[stefan555]

Ich hab bis heute nicht verstanden, wozu das eigentlich gut sein soll.

 

[Polygon]

Ich hatte schon nachgefragt, aber leider keine Antwort bekommen, unter https://vpntester.org/vpn-anbieter/was-ist-vpn-wissen/vpn-multi-hop-verbindungen-einfach-erklaert/ schreibt man: "WARNUNG: Verschachtelte VPN-Verbindungen sind keine Kaskaden“ . In wie weit das Relevant ist, hat bisher noch niemand beantwortet. Ich bin mir da auch nicht sicher.

In dem Link geht es hauptsächlich darum, dass einige VPN-Anbieter Kaskadenverbindungen anbieten, die nicht weiter verschlüsselt sind. Die Hauptverbindung ist zwar verschlüsselt, aber jede weitere Verbindung, die hinzukommt, ist lediglich eine zusätzliche Verbindung ohne zusätzliche Verschlüsselung.

Im Gegensatz dazu verschlüsselt Perfect Privacy (PP) jede Verbindung zusätzlich im Client.

Da du zwei unabhängige Verbindungen verwendest (Router und Client), sind beide Verbindungen sowieso separat verschlüsselt. Und ja, das macht die Verbindung langsamer, mehr Rechenaufwand, mehr Overhead usw.

Du kannst dich bei PP mit so vielen Clients einloggen wie du willst.

Und nein, wenn der VPN Anbieter nicht loggt, bist du mit einer Kaskade nicht wirklich sicherer. Gibt doch eh nichts an Daten zu holen, dient viel mehr dazu um das ''paranoide'' Gewissen zu beruhigen.

 

[Honk]

Ich hab bis heute nicht verstanden, wozu das eigentlich gut sein soll.

Mit einer einfachen Verbindung wäre es möglich, dass der z.B. ein Dienstebetreiber Deine reale IP herausfinden kann, wenn dieser die Möglichkeit hat, die VPN-IP mit dem ISP (Telekom, Vodafone) abzugleichen. Der ISP kennt Deine reale IP als auch die IP der VPN-Verbindung.

Mit einem zweiten Hop ist das nicht mehr möglich. Insofern macht eine Kaskade durchaus Sinn.

 

[Polygon]

Mit einer einfachen Verbindung wäre es möglich, dass der z.B. ein Dienstebetreiber Deine reale IP herausfinden kann, wenn dieser die Möglichkeit hat, die VPN-IP mit dem ISP (Telekom, Vodafone) abzugleichen. Der ISP kennt Deine reale IP als auch die IP der VPN-Verbindung.

Kannst du das nochmal genauer ausführen? Irgendwie checke ich das gerade nicht.
Wie will ein Dienstbetreiber der deine IP nicht kennt und somit auch deinen Provider nicht kennen kann, bei deinem Provider (den er ja nicht kennt) deine IP raus bekommen?

 

[theoth]

"WARNUNG: Verschachtelte VPN-Verbindungen sind keine Kaskaden“

Ich frag mich, ob der das richtig peilt.
Wenn richtig konfiguriert, sind verschachtelte VPNs mindestens genauso sicher, wenn nicht sogar sicherer als Kaskaden.
Ich hab das selbst mal durchexerziert.
Ich hab 2 Server (phys. oder virtuell): Server A und Server B
Auf meinem Server A wird eine VPN-Verbindung zum Ort X aufgebaut und eine routing Tabelle erstellt, die jeglichen Traffic von Server B durch diesen Tunnel zwingt. In dieser routing Tabelle stehen die privaten IPs (10.x....) des vpns. D.h. wenn dieser erste Tunnel abkackt, wird nichts mehr geroutet.
Auf meinem Server B baue ich jetzt eine VPN-Verbindung zum Ort Y auf. Server B läßt über seine Firwall nur port 4433 durch. Alles andere wird blockiert. Server B weiß auch nichts von Server A und wenn die VPN-Verbindung steht, sieht es für ihn aus, als hätte er eine direkte Vebindung zum Ort Y und der gesamte traffic wird über Y umgeleitet.
Bricht dieser Tunnel zusammen, wird erstmal gar nichts weitergeletet, denn nur traffic über port 4433 kommt durch.

In Wahrheit geht der traffic natürlich erst zum Ort X, von da weiter zum Ort Y und man müßte beide Orte überwachen, um überhaupt Rückschlüsse auf den eigentlichen Ursprung ziehen zu können.
Am Ort X sehe ich nur, daß von meiner öffentlichen IP was zum Ort Y geht. Das könnte man mit viel Aufwand ggf. noch ermitteln.
Am Ort Y sehe ich nur, daß traffic von Ort X zum Ziel geht, auch das ist nur mit viel Aufwand zu ermitteln.

Diesen erheblichen Aufwand meint Honk - allerdings muß dann der Dienstebetreiber, auf dem der PP-VPN-Server betrieben wird mitspielen.
Und der Aufwand ist wirklich erheblich, wenn viel Traffic über diesen VPN server geht. Nachts, wenn nichts los ist, geht das vielleicht...
Also nur von 3-letter-agencies bei hochgradiger Gefahr machbar.

Was die Performance angeht, ist der Verschlüsselungs-overhead nicht extrem.
Bei meinen Servern ist eine schwache N100 CPU gerade mal zu 20% ausgelastet, wenn 100MBit/s über das VPN laufen.
Die AES-Verschlüsselung geschieht bei modernen CPUs mittels Hardwareunterstützung.

 

[Polygon]

Diesen erheblichen Aufwand meint Honk - allerdings muß dann der Dienstebetreiber, auf dem der PP-VPN-Server betrieben wird mitspielen.
Und der Aufwand ist wirklich erheblich, wenn viel Traffic über diesen VPN server geht. Nachts, wenn nichts los ist, geht das vielleicht...
Also nur von 3-letter-agencies bei hochgradiger Gefahr machbar.

Aaaahh, danke für die Erklärung.

 

[protonscycle]

Genau darum ging es mir. Wenn es um den Fall geht, dass der mit Hilfe des Internetanbieters versucht wird Rückschlüsse zu ziehen, oder wenn ein einzelner Server kompromittiert wird.

Den Antworten der Nutzer nach scheint es in beiden Fällen keinen wirklichen Unterschied zu geben und so oder so sollte man keine Nachteile haben, außer die Drosselung der Internetgeschwindigkeit?

Falls die Mods oder Lars nochmal kurz abnicken kann, würde mir das mein Gewissen sehr erleichtern.

Vielen Dank an die Crew und aktiven Nutzer

 

[Honk]

Diesen erheblichen Aufwand meint Honk - allerdings muß dann der Dienstebetreiber, auf dem der PP-VPN-Server betrieben wird mitspielen.
Und der Aufwand ist wirklich erheblich, wenn viel Traffic über diesen VPN server geht. Nachts, wenn nichts los ist, geht das vielleicht...
Also nur von 3-letter-agencies bei hochgradiger Gefahr machbar.

Nun, ich habe lediglich von einer Möglichkeit gesprochen

 

[PP Christian]

Den Antworten der Nutzer nach scheint es in beiden Fällen keinen wirklichen Unterschied zu geben und so oder so sollte man keine Nachteile haben, außer die Drosselung der Internetgeschwindigkeit?

So ist es. Unser Multi-Hop funktioniert im Grunde so. Man baut einen Tunnel auf zum 1. Server und tunnelt sich dadurch zum 2. Server und so weiter.