VM mit OpenVPN und virtueller LAN-Verbindung auf "static" sicher?

thetumb

Member
Hallo zusammen,

ich nutze meinen PP-Zugang mittels OpenVPN in einer VM. Die VM hat standardmäßig eine erste und nach dem Verbinden per OpenVPN eine zweite LAN-Verbindung. Ich nutze für jede Serverkonfiguration jeweils ein "pre"- sowie ein "up"-Skript. Im Verbindungsverlauf wird damit der DNS-Server für die erste LAN-Verbindung komplett entfernt, der DNS-Cache geleert, DHCP ausgeschaltet und diese auf "static" gesetzt. Nun hat nur noch der VPN-(TAP-)Adapter DHCP aktiviert. Der VPN-Adapter wählt dann normalerweise einen DHCP-Server, der sich nur im letzten Block von meiner internen VPN-IP unterscheidet und als DNS-Server bspw. 5.79.71.195, 5.135.143.84 und ähnliche.
  1. Sind diese DNS-Server von PP?
  2. Fällt meine Verbindung und somit die VPN-Verbindung aus (gelb) oder wird diese ganz geschlossen, kann ich mich nicht mehr mit dem Internet verbinden. Ich glaube aber, dass dies nur daran liegt, dass ohne DNS-Server keine Hostnamen mehr aufgelöst werden können. Liege ich richtig in der Annahme, dass die erste LAN-Verbindung damit aber immer noch "funktionell" ist? Und würde das heißen, dass sich bspw. immer noch zu direkten IP-Adressen verbunden werden kann?
  3. Wenn ich nun bei der ersten LAN-Verbindung auch noch einen fiktiven Standard-Gateway einsetze, sollte ich dann nicht bei einem Abbrechen der VPN-Verbindung vor einem Rückfall auf meine reguläre Verbindung geschützt sein, da diese nicht funktioniert?

Vielen Dank für jede Hilfe!
 

JackCarver

Well-known Member
Unter welchem System läuft denn die VM? Sinnvollen Schutz bietet ne Firewall, die die VM nach außen hin abschottet und lediglich den VPN Traffic zulässt. Dieses DNS löschen bringt gar nix, die Idee mit dem Gateway ist besser muss aber jedesmal dann händisch oder via Skript angepasst werden.
 

thetumb

Member
Es handelt sich um Windows 7. Das Problem kann man ja auf verschiedenen Ebenen angehen. Ich bin nicht so der Firewall-Fan und bevorzuge eine Lösung, bei der nach einer erfolgreichen VPN-Verbindung jeder andere Adapter funktionsunfähig gemacht wird, damit bei einem Disconnect der VPN-Verbindung kein Zurückfallen auf diesen möglich ist. (Der DNS-Teil scheint aber übrigens insofern zu funktionieren, dass alle weiteren Abfragen über vom OpenVPN-Server ausgewählte DNS-Server und nicht über die meines ISP laufen.)

Welche Lösung ist denn letztendlich die sicherste? Andere Adapter funktionsunfähig zu machen? Regeln in einer Firewall zu setzen? Oder doch eher die Einträge in der Routing-Tabelle und die Adapter-Prioritäten zu ändern?
 

JackCarver

Well-known Member
Die beste Lösung ist idR die, die man allgemein in so nem Fall auch anwenden würde. Geht es darum zu kontrollieren, was in mein System rein oder aus meinem System raus darf, ist ein Paketfilter, also ne Firewall das beste. DNS Server zu löschen oder die Routing Tabellen zu bearbeiten oder auch den Gateway auf 0.0.0.0 zb zu setzen, sind Hilfsmittel, die das Problem ne FW einzurichten umgehen.
Die mE sicherste und auch praktikabelste Lösung ist für deinen Fall ne FW.

Jedes IT Unternehmen würde das übrigens auch mit ner FW Lösung umsetzen.
 

thetumb

Member
Wenn ich diese Regeln allerdings allgemein z.B. in meine Windows-Firewall eintrage, ist es dann nicht so, dass ich nicht einmal mehr eine VPN-Verbindung aufbauen kann, da die reguläre Verbindung über keine Konnektivität mehr verfügt? Wie umgehe ich das?
 

JackCarver

Well-known Member
Was die Win FW anbelangt kann ich nix zu sagen, da ich kein Win nutze. Im DL Bereich von PP gibt es aber den PP VPN Manager für Win, der dir das automatisiert machen kann. Ansonsten ist es allg so, dass du in ner FW einstellen kannst, dass zb nur der OVPN Port zu PP und der DNS Port frei bleiben soll auf deinem LAN Adapter. Der TAP Adapter bleibt dann davon unberührt, du kannst also über den LAN Adapter VPN Verbindungen starten und surfst anschließend frei über den TAP.
 

thetumb

Member
Könnte dann nicht in einem theoretischen Fall eine Anwendung genau diesen Port zu PP verwenden? Mit der Routing-Tabelle kann ich hingegen nur Verbindungen zu PP-Servern erlauben und keine Anwedung kann das umgehen oder durch Zufall über einen bestimmten Port kommunizieren.
 

thetumb

Member
Manuelle Funktionsunfähigkeit: http://support.vpnsecure.me/article...nternet-connection-when-disconnected-from-vpn

Den regulären Adapter nach einer erfolgreichen VPN-Verbindung wie im oberen Link manuell funktionsunfähig zu machen, scheint mir im Nachhinein doch keine gute Idee zu sein. Dabei verlasse ich mich schließlich darauf, dass keine wichtige Anwendung vorher Daten über die reguläre Verbindung sendet.

Es bleiben somit eigentlich nur die "Routing"- und die "Firewall"-Lösung.

Firewall-Lösung: https://board.perfect-privacy.com/f...-verbindung-auf-static-sicher?p=8997#post8997

Ich bin mir hier nur immer noch nicht sicher, inwiefern das Öffnen zweier Ports für einen Adapter in einer Firewall deren Nutzung durch andere Anwendungen verhindern würde.

Routing-Lösung: http://serverfault.com/questions/42...ing-your-ip-when-it-disconnects/420371#420371

Die Routing-Lösung macht eigentlich genau das, was in der Firewall-Lösung auch vorgeschlagen wurde. Allerdings werden nur speziell definierte OpenVPN-Server-IPs zugelassen und somit über den normalen Gateway geroutet. Selbst für den Fall, dass keine Verbindung zum VPN möglich ist, wird das System die Route mit der zweithöchsten Priorität wählen, welche alle Verbindungen über einen nicht funktionierenden "Fake"-Gateway leitet und somit verhindert. DHCP im regulären Adapter ist zusätzlich deaktiviert.
 

JackCarver

Well-known Member
Zum einen kann eine Anwendung gleich welche auch immer nicht so einfach mal was über nen beliebigen Port senden. Dazu ist zwangsläufig ein Server nötig, der auf eben genau diesem Port auf Anfragen von aussen lauscht. Es würde bedeuten, ich müsste nen Serverdienst aufsetzen, der auf einem PP Port und dazu dem passenden Protokoll, also zb UDP PP Port oder TCP PP Port lauscht und dann müsste diese Anwendung genau diesen Server auf ebendiesem Port kontaktieren.
Bei 65535 möglichen Ports schon recht unwahrscheinlich.

Zum anderen kann ne Firewall auch Anwendungen an sich blocken, so dass du zb nur dem OpenVPN Prozess Zugriffe nach aussen über den LAN Adapter erlaubst.

Edit:
Für ausgehende Verbindungen ist das Blocken von Anwendungen zb auch unter Linux mit den iptables möglich. Dazu benötigt man nur folgenden Zusatz:

Code:
[COLOR=#333333][FONT=Verdana]-m owner --cmd-owner "/path/to/application"[/FONT][/COLOR]

Das nur am Rande, da du ja Win 7 nutzt, diese sollte das aber auch hinkriegen.
 
Top