Windows 10 Firewall Control - Einstellungen für OpenVPN

[Alex]

Mich würde interessieren wie ich die Windows Firewall einstellen muss, damit Programme nur auf das Internet zugreifen dürfen, wenn OpenVPN läuft.

Quasi sowas wie der VPNManager in die FW einträgt, nur eben nicht für den VPNManager sondern für OpenVPN selbst.

Die Regel muss ich aber einfach deaktivieren können, denn ich will nicht immer mit PP und OpenVPN im Internet unterwegs sein.

Wenn möglich würde mich interessieren wie man das mit Windows 10 Firewall Controll einrichten kann.

Den Thread OpenVPN mit Win-Firewall absichern habe ich gefunden, der nutzt mir aber wenig, da wie gesagt ich die Regel einfach deaktivieren können muss ohne diese zu löschen.

Ich habe zwar für Firefox 2 Profile (eins für VPN, eins ohne)...
Ein anderer Browser kommt für/ohne VPN wie im verlinkten Thread nicht in Frage.

 

[Alex]

(Wohl) doch zu früh gefreut (in #37) da ich schon die ganze Woche (KW17) wieder das Problem mit dem gelben Ausrufezeichen habe, obwohl obiges freigegeben ist!

 

[Alex]

Bin seit einiger Zeit weg vom PP-VPN-Manager und "back to the roots" zu OpenVPN.
Bin auch wieder bei Comodo-FW... die mir aber nur für ausgehende Verbindungen (zwecks Meldungen) dient (wie früher auch!).

Habe mir die 4 Regeln, welche der VPN-Manager erstellt, wenn er aktiv ist, kopiert und 2 davon angepasst (einmal für die OpenVPN GUI und einmal für die openvpn.exe).
Diese Regeln sind in der FW immer aktiv!

Habe mir auch 2 Batch-Dateien angelegt:
- eine die ich manuell ausführe nachdem ich per OpenVPN mit einem PP-Server verbunden bin -> diese stellt die FW-Profile der Domäne und das Private auf blockoutbound (Ausgehende Verbindung blockieren); da hier das Öffentliche Profil aktiv wird.
- eine die ich manuell ausführe nachdem ich vom PP-Server disconnected bin -> diese stellt mir alle FW-Profile wieder auf allowoutbound (Ausgehende Verbindung aktivieren); da hier das Private Profil wieder aktiv wird.
Sicherlich hätte es auch genügt in dieser nicht alle Profile auf allowoutbound zu stellen sondern nur das für das Öffentliche Profil, aber man weiß ja nie!
Beide Batch-Dateien führe ich als Admin aus (Rechtsklick "Als Administrator ausführen).

Effekt:
Bin ich mit OpenVPN und einem PP-Server verbunden und bricht die Verbindung zum Server ab so kann auch keine Webseite aufgerufen noch irgendwas heruntergeladen werden.
Sobald ich mich dann manuell disconnete stelle ich mit der zweiten Batch wieder um so dass das Private Profil wieder ausgehende Verbindungen zulässt.

PS: Da ich sowieso immer in IP v4 2 DNS-Server drin stehen habe und es keinen DNS-Leak dadurch gibt, kann ich damit leben.
PPS: Hat mich einiges an Zeit gekostet bis ich auf die für mich passende Lösung unter Windows gekommen bin!
Mal sehen... hab noch vor Linux (Ubuntu) zu testen...
Ansonsten und das möchte ich doch auch mal erwähnen, bin ich mit PP sehr zufrieden.

 

[Nytro87]

Habe auch das Problem bei Win10 das bei Kaskadierung kein Internet vorhanden ist. Beim 2. Hop manchmal, beim 3. Hop immer. Es steht dann da Verbunden, warte auf Bestätigung (die kommt nie) oder Es steht (Verbunden) da, trotzdem kein Internet.

Nehme ich dann den Haken bei Firewall "Bei Tunnelstart aktivieren" raus ohne den VPN zu trennen, geht Internet sofort, auch die 3er Kaskade bleibt dann Verbunden. Windows Firewall ist auf Standard, und die Regeln bleiben anscheinend gesetzt wenn man den Haken rausnimmt. Jedenfalls sind keine entfernt worden...
Andere Virenprogramme oder Firewall sind nicht installiert.

 

[PP Frank]

Hast du mal die Windows Firewall auf Standard zurück gesetzt?

 

[Nytro87]

Jo hab ich schon probiert. Bringt leider nichts.

 

[PP Frank]

Versuche mal in den Einstellungen 4 Hops einzutragen und verbinde dich dann mit 3. Gehen dann die 3?

 

[Nytro87]

Nein leider nicht. Hatte sogar 4 Hops drin. Dann auch nochmal auf 3 probiert, selbes Ergebnis. Ich habe Windows 10 gerade erst neu aufgesetzt vor ein paar Wochen, leider hat das das Problem nicht behoben

Ich werde nachher mal eine VM aufsetzen mit Win10 und dann mal probieren ob es mit einem komplett reinen Win10 funktioniert

Übrigens funktioniert auf Win7 in der VM das Verbinden. Dort kann ich sogar über 4 Hops gehen, keine Probleme!

 

[Nytro87]

Okay ich habe was rausgefunden. Es hängt alles an einer Firewalleinstellung bzw. Regel:

+ Normale einfache VPN geht mit Firewall Einstellungen
+ 2 Hops gehen auch problemlos
- bei 3 Hops geht nichts mehr durch.

Unter Erweiterte Einstellungen --> Windows-Firewalleigenschaften (der Button unter den 3 Profilen im Hauptfenster) --> Öffentliches Profil --> Ausgehende Verbindungen auf zulassen --> Internet da! Auch bei 3 Hops!

Nur wieso ist das so? Und wieso nur ab 3 Hops. Jemand eine Idee wo das Problem liegen könnte? Leider hält das Internet natürlich nur wenige Sekunden, denn der PP Manager blockiert kurz danach wieder die ausgeh. Verb.

 

[PP Frank]

Eventuell ein Bug im Manager. Ich muss das mal testen. Zu so etwas bekommen wir recht wenig Feedback, da 2 Hops völlig ausreichen und die meisten Leute auch nicht mehr nutzen. Der 3. Hop bringt einem ja nix mehr, ausser paar zusätzliche Risiken

 

[Nytro87]

Jo hat Zeit, ich benutze die meiste Zeit auch nur 1 Hop und manchmal einen 2. um einen Geoblock, GEMA oder irgendwas zu umgehen. Geht dann schneller als extra VPN 2x trennen und Verbinden ^^

 

[Gironimo]

Der 3. Hop bringt einem ja nix mehr, ausser paar zusätzliche Risiken

Bitte mal genauer erläutern.

Ein dritter Hop birgt Risiken und bringt nichts, wobei zwei Hops gut sind? Klingt für mich nach Bullshit.

 

[gspelvin]

Ohne der Antwort vorgreifen zu wollen: Ich verstehe das "zusätzliche Risiken" so, dass man damit einfach das Risiko erhöht, das irgendwas nicht mehr funktioniert (bzgl. Netzwerk; siehe weiter oben im Thread) ohne einen adäquaten Sicherheitsgewinn zu erhalten.

 

[PP Frank]

Richtig. Der Sicherheitsgewinn durch 3 Hops und mehr ist praktisch Null. Mit Risiken meine ich keine Sicherheitsrisiken, sondern eher in Richtung Stabilität, Fehlersuche wenn was weg bricht, Geschwindigkeit.

 

[Verydeutsch]

Ich kann diese Anwendungen in der Win 10 Firewall nicht dauerhaft abstellen. Wie geht das für Admin und User?
'@{Microsoft.Windows.SecHealthUI_10.0.15063.0_neutral__cw5n1h2txyewy?ms-resource://Microsoft.Windows.SecHealthUI/resources/PackageDisplayName}' should be disabled because it may allow internet access without vpn.

28.05.2017 12:03:17 Log Error:Firewall Rule '@{Microsoft.Windows.HolographicFirstRun_10.0.15063.0_neutral_neutral_cw5n1h2txyewy?ms-resource://Microsoft.Windows.HolographicFirstRun/resources/PkgDisplayName}' should be disabled because it may allow internet access without vpn.

'@{Microsoft.Windows.OOBENetworkCaptivePortal_10.0.15063.0_neutral__cw5n1h2txyewy?ms-resource://Microsoft.Windows.OOBENetworkCaptivePortal/Resources/AppDisplayName}' should be disabled because it may allow internet access without vpn.

28.05.2017 12:04:19 Log Error:Firewall Rule '@{Microsoft.Windows.SecHealthUI_10.0.15063.0_neutral__cw5n1h2txyewy?ms-resource://Microsoft.Windows.SecHealthUI/resources/PackageDisplayName}' should be disabled because it may allow internet access without vpn.



28.05.2017 12:08:22 Log Error:Firewall Rule 'OneNote' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule '@{Microsoft.Windows.HolographicFirstRun_10.0.15063.0_neutral_neutral_cw5n1h2txyewy?ms-resource://Microsoft.Windows.HolographicFirstRun/resources/PkgDisplayName}' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule 'ms-resource:AppStoreName' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule '@{Microsoft.Windows.Cortana_1.8.12.15063_neutral_neutral_cw5n1h2txyewy?ms-resource://Microsoft.Windows.Cortana/resources/PackageDisplayName}' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule 'ms-resource:IDS_MANIFEST_MUSIC_APP_NAME' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule 'ms-resource:IDS_MANIFEST_VIDEO_APP_NAME' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule 'Xbox' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule 'ms-resource://Microsoft.SkypeApp/Resources/SkypeVideo_ProductName' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule '@{EnvironmentsApp_10.0.15063.0_neutral__cw5n1h2txyewy?ms-resource://EnvironmentsApp/resources/DisplayName}' should be disabled because it may allow internet access without vpn.

28.05.2017 12:08:22 Log Error:Firewall Rule 'Holographic Item Player' should be disabled because it may allow internet access without vpn.

'@{Microsoft.Windows.OOBENetworkCaptivePortal_10.0.15063.0_neutral__cw5n1h2txyewy?ms-resource://Microsoft.Windows.OOBENetworkCaptivePortal/Resources/AppDisplayName}' should be disabled because it may allow internet access without vpn.

28.05.2017 12:09:24 Log Error:Firewall Rule '@{Microsoft.Windows.SecHealthUI_10.0.15063.0_neutral__cw5n1h2txyewy?ms-resource://Microsoft.Windows.SecHealthUI/resources/PackageDisplayName}' should be disabled because it may allow internet access without vpn.