Zwei VPN-Anbieter gleichzeitig / Hyper-V VM

[Aurum]

Hi,
wenn die Frage nach der gleichzeitigen Nutzung zweier VPN-Anbieter aufkommt, hört man häufig, dass dies nicht sinnvoll sei, z. B. wenn es aus dem Grund geschieht, dass man einem Anbieter nicht restlos vertraut, so wäre es besser diesen Anbieter dann gar nicht zu nutzen. Ist natürlich richtig, ich verwende PP schon seit vielen Jahren und werde es weiter tun.
Trotzdem würde ich gerne wissen, ob die Verschachtelung zweier VPNs nach unten stehendem Schema so funktioniert, wie ich es mir naiv vorstelle:



Zuerst wird in Windows (host) ein VPN A (z.B. PP über OpenVPN) aufgebaut, dann in einer Hyper-V Windows-VM ein VPN B (z.B. Wireguard eines anderen Anbieters); Nutzung des Internets in der VM. (Alternativ könnte in der VM auch TOR laufen, oder man spart sich die VM und der host wird mit VPN B über einen VPN-Router (VPN A) verbunden usw. usw.).
Ist es nun richtig, dass im Falle (1.) eines kompromittieren VPN A zwar meine echte IP offengelegt wird, aber nicht die Daten, da diese per VPN B Verbindung verschlüsselt sind und (2.) bei kompromittieren VPN B die Daten offengelegt sind, aber nicht die echte IP, da diese durch die VPN A Verbindung verschleiert ist?

 

[MagnusMundus]

Hey,

die frage ist geht die VM über NAT ins Internet?
Es gibt mehrere möglichkeiten wie deine VM ins Internet geht z.B. deine VM eine IP direkt vom Router bekommt dann ist dein Bild komplett falsch und VPN A und VPN B müssten paralel laufen. Wie das aufgebaut ist kannst du Testen indem du VPN A aufbaust und dann mit der VM einen Test beim VPN A Anbieter machst. Da sollte dann stehen das du mit Ihm verbunden bist. Machst du dann VPN B auf dann sollte es durch VPN A laufen. Selbst ein VPN Router kannst du falsch konfigurieren das VPN A und VPN B Parralel laufen (z.B. wenn du nur gewisse PCs über VPN laufen lässt und vergisst im DHCP einen PC eine feste IP zu geben kann das passieren weil du, warum auch immer, eine neue IP vom DHCP bekommst und die Verbindung nicht mehr durch den VPN läuft).

Wenn wir davon ausgehen das dein Bild nun so aufgebaut ist und VPN A kompromittiert ist dann ist deine IP nicht generell offen gelegt. Es kommt drauf an von wo du Hinschaust. Schaust du auf die Verbindung von VPN B ist die nicht offen gelegt geht ja noch durch einen Tunnel bzw. die sehen nur das es zu VPN B Server geht. Schaut man die Verbindungen von VPN A an dann ist deine IP offen gelegt die verbindung VPN B aber wie du schon geschrieben hast Verschlüsselt.

Gruß MagnusMundus

edit: Ich gehe davon aus das du mit der VM alles machst im Internet und der Host nur für die Verbindung VPN A da ist dann ist die große gefahr VPN B wenn der kompromittiert ist dann ist VPN A völlig nutzlos und hat keinerlei schutz funktion mehr.

 

[Aurum]

Besten Dank für die ausführliche Antwort!

Für die Netzwerkverbindung der Hyper-V VMs nutzte ich die Standardeinstellung, also den Default Switch (gibt sonst noch extern, intern, privat; Quelle: https://lost-in-it.de/hyper-v-netzwerkeinstellungen-verstehen/):

„Der Default Switch vergibt IP-Adressen per DHCP an die zugeordneten VM’s aus dem Netzbereich 172.16.X.X. Angebunden ist der Default Switch immer an den aktuell aktiven Netzwerkadapter und die VM’s bekommen mittels NAT Zugriff auf das externe Netzwerk. Somit ist sichergestellt, das die VM’s immer Netzwerkzugriff haben und sich leicht auf andere Rechner übertragen lassen. Natürlich könnt ihr zusätzlich weitere virtuelle Switche mit den oben angegebenen Typen erstellen und den virtuellen Maschinen zuweisen.“

Wie du vorgeschlagen hast, hab ich mal einige Varianten getestet (Grundspeed ca. 1100 Mbps):

1.) Host: PP OpenVPN Amsterdam / VM: no VPN
-> Host: IP von VPN-Server Amsterdam; Speedtest ca. 400 Mbps / VM: IP und Speed wie bei Host

2.) Host: AnbieterB Wireguard Prag / VM: no VPN
-> Host: IP von VPN-Server Prag; Speedtest ca. 1050 Mbps / VM: IP und Speed wie bei Host

3.) Host: no VPN / VM: AnbieterB Wireguard Prag
-> Host: „echte“ IP; Speedtest ca. 1100 Mbps / VM: IP von VPN-Server Prag; Speed ca. 700 Mbps
(hier VM evtl. etwas langsamer, da nicht alle Ressourcen des Hosts für Guest freigegeben?)

4.) Host: PP OpenVPN Amsterdam / VM: AnbieterB Wireguard Prag
-> Host: IP von VPN-Server Amsterdam; Speedtest ca. 400 Mbps / VM: IP von VPN-Server Prag; Speed ca. 260 Mbps

Es fällt auf, dass bei 4.) der Speed in der VM deutlich reduziert ist (natürlich trotzdem noch schnell genug). Sehe ich das richtig, dass damit (zumindest heuristisch) gezeigt ist, dass der VPN B Tunnel durch den VPN A Tunnel geht und somit dem Schema von oben entspricht? Ein weiteres Indiz wäre, dass der PP Firewall Kill-Switch (Host) auch das Internet der VM blockt…

Deinen Nachsatz („edit:… dann ist VPN A völlig nutzlos und hat keinerlei schutz funktion mehr“) habe ich nicht ganz verstanden… Also folgender Fall: VPN B ist kompromittiert, VPN A ist sicher. Ich hatte jetzt vermutet, dass damit alle Daten hinter dem VPN A Server dann zwar offengelegt sind, aber trotzdem die echte IP nicht bekannt ist, da die VM nicht meine echte IP, sondern nur die zugewiesene IP von VPN A kennt. Oder ist das ein Denkfehler?

 

[bohumil]

Okay, keiner weiss mehr wo du herkommst. Bleibt halt nur der Browser Fingerprint und andere Sachen, die wir gar nicht kennen, so wie z.B. Backdoors im BS. Und die gibt es. Bei der Kombination von Tales/VM und so weiter könnte es etwas schwieriger sein dich zu erfassen. Egal, für mich bleibt das Internet ein offenes Buch. Wir wissen ja nicht, was da wirklich abläuft.

 

[Nul]

Apropo browser Fingerprint:

Browser-Fingerprinting: PCs, Smartphones & Co. lassen sich über die GPU tracken

Die Leistungscharakteristika einer Grafikeinheit sind so individuell, dass sie das Browser-Tracking für Webseiten-Betreiber maßgeblich vereinfachen können.

www.heise.de

Dir hat man gesagt, das du die (3d) Hardwarebeschleunigung der GPU im Broser (und/oder WebGL) deaktivieren musst? Am besten gleich in der VM.
"Aber dann läuft das alles langsamer". Als ich mit einem 19.200er Baud-Modem im Internet gesurft habe wurde bei Grafikkarten noch die 2D Leistung + Leistung in MS Office getestet; welcher Hersteller weniger Ruckler hat als der andere ^^

(Und k.a. was du noch alles Ausschalten kannst bzw. besser nicht Einschaltest)

 

[MagnusMundus]

Besten Dank für die ausführliche Antwort!

Für die Netzwerkverbindung der Hyper-V VMs nutzte ich die Standardeinstellung, also den Default Switch (gibt sonst noch extern, intern, privat; Quelle: https://lost-in-it.de/hyper-v-netzwerkeinstellungen-verstehen/):

„Der Default Switch vergibt IP-Adressen per DHCP an die zugeordneten VM’s aus dem Netzbereich 172.16.X.X. Angebunden ist der Default Switch immer an den aktuell aktiven Netzwerkadapter und die VM’s bekommen mittels NAT Zugriff auf das externe Netzwerk. Somit ist sichergestellt, das die VM’s immer Netzwerkzugriff haben und sich leicht auf andere Rechner übertragen lassen. Natürlich könnt ihr zusätzlich weitere virtuelle Switche mit den oben angegebenen Typen erstellen und den virtuellen Maschinen zuweisen.“

Wie du vorgeschlagen hast, hab ich mal einige Varianten getestet (Grundspeed ca. 1100 Mbps):

1.) Host: PP OpenVPN Amsterdam / VM: no VPN
-> Host: IP von VPN-Server Amsterdam; Speedtest ca. 400 Mbps / VM: IP und Speed wie bei Host

2.) Host: AnbieterB Wireguard Prag / VM: no VPN
-> Host: IP von VPN-Server Prag; Speedtest ca. 1050 Mbps / VM: IP und Speed wie bei Host

3.) Host: no VPN / VM: AnbieterB Wireguard Prag
-> Host: „echte“ IP; Speedtest ca. 1100 Mbps / VM: IP von VPN-Server Prag; Speed ca. 700 Mbps
(hier VM evtl. etwas langsamer, da nicht alle Ressourcen des Hosts für Guest freigegeben?)

4.) Host: PP OpenVPN Amsterdam / VM: AnbieterB Wireguard Prag
-> Host: IP von VPN-Server Amsterdam; Speedtest ca. 400 Mbps / VM: IP von VPN-Server Prag; Speed ca. 260 Mbps

Es fällt auf, dass bei 4.) der Speed in der VM deutlich reduziert ist (natürlich trotzdem noch schnell genug). Sehe ich das richtig, dass damit (zumindest heuristisch) gezeigt ist, dass der VPN B Tunnel durch den VPN A Tunnel geht und somit dem Schema von oben entspricht? Ein weiteres Indiz wäre, dass der PP Firewall Kill-Switch (Host) auch das Internet der VM blockt…

Deinen Nachsatz („edit:… dann ist VPN A völlig nutzlos und hat keinerlei schutz funktion mehr“) habe ich nicht ganz verstanden… Also folgender Fall: VPN B ist kompromittiert, VPN A ist sicher. Ich hatte jetzt vermutet, dass damit alle Daten hinter dem VPN A Server dann zwar offengelegt sind, aber trotzdem die echte IP nicht bekannt ist, da die VM nicht meine echte IP, sondern nur die zugewiesene IP von VPN A kennt. Oder ist das ein Denkfehler?

Hey,

nun ähm zu 1-4 ich denke wenn ich es richtig verstanden hab passt das so Theoretisch müsste es mit jeder "Schicht" an VPN Langsamer werden da jede "Station" entschlüsselt werden muss. Ich denke Solange der Host VPN hat und du mit der VM beim VPN Anbieter des Hosts einen IP Check machst und der sagt du bist mit dem VPN des Host verbunden sollte der VPN B durch VPN A gehen(Sobald du VPN B dann auch aufbaust ).

Ja vergiss mein edit... Du müsstest recht haben. Egal ob VPN A oder VPN B kompromittieren ist sollte die Verbindung geschützt sein. Egal aber wie es gibt Situation wo dein Tunnel völlig egal sind wie bohumil und Nul geschrieben haben gibt es andere möglichkeiten. Wenn wir davon ausgehen das VPN A und VPN B die Server immer aktuell halten und eine kompromittierung ausgeschlossen ist ( was aber niemals ausgeschlossen ist ) dann sind Fingerprints, Anmelden bei seiten die deine real Daten oder Verbindungen ohne VPN mal hatten usw. effektivere und sicherlich erfolgreichere möglichkeiten. Bei einer kompromittierung besteht die chance das der VPN Anbieter dies mitbekommt oder sogar relativ schnell fixt. Fingerprints kannst du eventuell sogar noch mitbekommen bzw. wegblocken. Es gibt noch die möglichkeit ( die wohl schon erfolgreich so verwendet wurde hab aber leider keine Quelle momentan ) hinter und vor dem VPN Server eine "Blackbox" aufzustellen und den eingehenden und ausgehenden Verkehr zu vergleichen und dann Rückschlüsse zu ziehen. Egal bei welchem Server es gemacht wird sprich VPN A oder VPN B werden die schnell feststellen das es noch einen VPN gibt und machen da das gleiche. Das ganze bekommst weder du noch der VPN Anbieter mit. Es gibt so viele dinge die du beachten musst.

Dann ist noch die sache das du HyperV verwendest. HyperV ist so eine Windows sache und Windows würde ich niemals vertrauen. Es gibt genug Blogs in denen über Angriffe und Probleme von Windows, Active directory und co geschrieben wird. Nur weil du einen VPN Nutzt heißt das nicht das die nicht dein System kompromittieren können.

Wenn du die möglichkeit hast dann setz lieber auf Linux sowas wie Tails ( ich vermute Bohumil meint Tails ), Debian und co. setz dich damit auseinander. Vermeide "SchnickSchnack" Linux Derivate die dir alles abnehmen. Nutze kein Google oder Suchmaschinen die Fingerprinten, Nutz Tor ( Tor hat übrigens auch das "Blackbox" Problem ), Verwende etablierte Techinken/Methoden wie OpenVPN. Vermeide Windows, Nutze die VM oder besser Host und VPN nicht für Privates ( Facebook, Twitter und co. ), Nutze keine Accounts die du auserhalb VPN/Host nutzt.

Es gibt so viel was du beachten musst. Die Liste ist nicht komplett hab sicher etwas vergessen...

Die frage ist auch ist es der Aufwand wert? Privatsphäre Ja aber ist es nötig dich "ein zu bunkern"?

Ich sehe den meisten nutzen an einem VPN das du in öffentlichen WLANs oder gemeinschaftlichen Internetanschlüssen ( WG und co. ) besser geschützt bist. Eventuell noch Gäste WLAN ( Man weiß ja nie was die so machen ^^). Vielleicht noch wegen Geoblocking das du Seiten besuchen kannst die nur in anderen Ländern verfügbar sind.

Gruß
MagnusMundus

 

[Aurum]

Nochmals danke für die ausführliche(n) Antwort(en)!

Ich sehe das auch so wie Du in den letzten beiden Absätzen beschrieben hast ( -> VPN als leicht erkauftes Plus an Privatsphäre und Sicherheit in ungeschützten Netzwerken). Aber schon interessant, was so alles möglich ist (z.B. das Tracking von Herstellungsvarianzen einer GPU ist schon krass…). Tails hab ich auch schon mal aus Interesse ausprobiert (Livesystem, aber in VM), funktioniert auch ganz gut.

Ich bräuchte bei meinem Nutzungsverhalten eigentlich gar kein VPN, es ist eher „aus Prinzip“, Interesse und den oben genannten Gründen. Ich denke, wenn ich es wirklich essentiell für mich wäre, wäre die erste Maßnahme niemals einen Internetanschluss zu benutzen, der auf meinen Namen oder den von Bekannten usw. läuft. Danach kämen dann alle Maßnahmen, die du aufgelistet hast.

 

[Nul]

Sag mal, war Hyper-V nicht die VM von Microsoft, die einen Bug hatte, mit dem die VM ausbrach und das Hostsystem übernommen hat?
Ist das nicht die VM, die Hardwarenahe arbeitet und deshalb einge gewisse Chance zur identifizierung gibt?
Ich will das Thema nicht ausarten lassen und nur einen link posten der schon vorher diskutiert wurde

Microsofts neuer Servicevertrag erlaubt Totalüberwachung aller Nutzer

Microsofts neuer Servicevertrag besagt, dass man alle Inhalte der Nutzer überprüfen darf. Es wird zu Löschungen und Kontensperrungen kommen.

tarnkappe.info