OpenVPN "Killswitch"

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • GaborDenes schrieb:

      Mein Router ist dafür ganz schlecht beim Empfang von Satelittenfernsehen...
      Na wenn er ganz schlecht dabei ist dann frage ich mich wie du überhaupt den Empfang von Satelliten Signal mit einem Internet Router hinbekommen hast. Und die Übertragung des Bildes zum Fernseher erst ?(
      Keiner schrieb was davon dass die VU als Router fungieren soll.


      Es geht hier ja nicht darum wer was für Sinnvoll oder Überflüssig hält sondern um Lösungen und Vorschläge :whistling:
      Lesen bildet! :thumbup:

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von grazzor ()

    • So, nach meiner Schlaflosen Nacht bin ich nun um einiges weiter gekommen.
      Bei mir funktioniert das alles nicht ohne dass ich ein Gateway angebe. Weder LAN noch Internet.

      Ich hab die ganze "Killswitch" Lösung nun per Router und Firewall gesteuert.
      Funktioniert bestens, Internet geht nur noch und ausschließlich über VPN.
      Sobald die Verbindung abbricht, geht keinerlei externer Traffic über eth0, nur der Lokale. (außer ntürlich der der für die OpenVPN Verbindung zuständig ist)

      Wenn Interesse besteht erstell ich später eine kurze Anleitung :)
      Lesen bildet! :thumbup:

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von grazzor ()

    • Ich hab dazu mal eine kleine Anleitung geschrieben, villeicht auch Interessant für die jenigen die sich nicht per Konsole ran trauen oder bei denen es auch ohne Gateway nicht geht.

      DHCP hab ich auf der Box aus, IP außerhalb des DHCP Pools, Gateway Ja, DNS Server OpenDNS.
      Damit Internet ausschließlich über VPN läuft müssen wir alle Ports sperren bis auf den, den der VPN Anbieter nutzt.
      In meinem Fall nutzt der Anbieter den Port 1194 mit dem Protokoll UDP, dies kann von Anbieter zu Anbieter unterschiedlich sein.

      1. Fritzbox Webinterface aufrufen und einloggen (Standard IP 192.168.178.1)
      (Um die Einstellungen zu sehen müsst Ihr bei der FritzBox Die Erweiterte Ansicht auswählen)
      Spoiler anzeigen


      2. Internet -> Filter -> Listen -> Netzwerkanwendung hinzufügen -> Name eingeben -> Neues Protokoll
      - TCP -> Quell- & Ziel Port Beliebig
      - UDP -> Quellport Beliebig & Zielport 1 - 1193
      - UDP -> Quellport Beliebig & Zielport 1195 - 65535
      -> OK
      Spoiler anzeigen


      3. Internet -> Filter -> Zugangsprofile - Neues Zugangsprofil
      - Name eingeben
      -> Gesperrte Netzwerkanwendungen
      - Die eben erstellte Liste auswählen
      -> OK
      Spoiler anzeigen


      4. Internet -> Filter -> Kindersicherung
      - Das eben erstellte Zugangsprofil Eurer VU zuweisen
      -> Übernehmen
      Spoiler anzeigen


      5. System -> Sicherung -> Neustart
      - Neu starten
      Spoiler anzeigen



      Im Anschluss sollte noch der der Schritt von @Banana Joe befolgt werden -> DNS vom VPN Provider verwenden

      Eine wichtige Anmerkung:

      Ich habe als Gateway die IP meines OpenWRT Acess Points angegeben da mit der FritzBox DNS Leaks auftreten (In der FritzBox sind ebenfalls die DNS Server von OpenDNS eingetragen)
      Bei Angabe der FritzBox IP als Gateway(x.x.x.1)

      root@VU:~# cat /etc/resolv.conf
      # Generated by resolvconf
      nameserver muti.box
      nameserver 10.8.0.1
      nameserver 208.67.220.220
      nameserver 208.67.222.222

      Bei Angabe der OpenWRT IP als Gateway(x.x.x.5)

      root@VU:~# cat /etc/resolv.conf
      # Generated by resolvconf
      nameserver 10.8.0.1
      nameserver 208.67.220.220
      nameserver 208.67.222.222
      Lesen bildet! :thumbup:

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von grazzor ()

    • Ich muss mich hier leider auch mal wieder einklinken und um hilfe bitten vor allem in der hoffnung das Banana Joe einen rat weiß.
      Ich habe mein vpn ja mit dem hier besprochenen " Killswitch" laufen, soweit sogut. Leider wechselt mein vpn anbieter die letzten paar wochen mehrmals die ip-adressen seiner server und somit funktioniert laufend meine verbindung nicht mehr und ich muas die ovpn datei und die interfaces anpassen.
      Leider bin ich ja aber auf die ip angewiesen denn mit dem nameserver lässt sich ja der killswitch nicht realisieren.
      Gibt es eine möglichkeit dieses problem zu lösen bzw es zu umgehen?

    • :/ ich hatte gehofft du wüsstest eine andere möglichkeit als das, denn leider habe ich genau das schon versucht aber sie ändern immer die ip adressen aller server und das regt mich inzwischen so auf. Auf anfrage warum sie das tun, bekam ich die antwort das es daran läge das dir chinesen soviele ip adressen aktuell blocken. Und static ip`s vergeben sie leider keine.

      Einen anderen weg gibt es nicht?

    • Okey aber das wird wohl schier unmöglich sein oder? Dafür gäbe es wohl zuviele möglichkeiten schätze ich?

      Was wäre mit einer router lösung also ein router welcher openvpn beherrscht? Dort könnte ich den nameserver nutzen und hätte das problem mit der ip des servers nicht mehr. Ich habe den ASUS RT-AC51U im blick, allerdings hat der wohl auch keine killswitch funktion an board. Lässt sich sowas denn dort irgendwie einbauen mit einem trick? Oder gibt es eine andere hardwärelösung für das problem, welche nicht zu extrem teuer wird?

    • Google mal nach AsusWRT Merlin dort sind alle Asus Router gelistet die mit dieser Software laufen.
      In dieser Software ist Policenrouting und Killswitch integriert.
      Von der Benutzeroberfläche her einfach zu konfigurieren.
      Asus-Router haben aber ihren Preis.

      Billiger wäre es einen DD-WRT fähigen Router in der Bucht zu besorgen.
      z.B. TP-Link WDR4300
      DD-WRT kann sowohl police-routing und ein Killswitch lässt sich über Firewall-Rules realisieren.

      Mit DD-WRT sollte man sich aber schon ein bischen (beschäftigen) auskennen.
      „In Deutschland ist die höchste Form der Anerkennung der Neid.“
      Arthur Schopenhauer

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von Eisman ()

    • Asuswrt merlin habe ich mir angeschaut, aber leider ist das immer erst mit den höher preisigen modellen kompatibel. Mit dem von mir gegannten router model von asus ist es nicht kompatibel, daher meine frage ob man auch irgendwie anders einen killswitch dort rein bekommt.

      Auch dd wrt habe ich mir scjon angeschaut, aber ehrlich gesagt wage ich mich da nicht so recht dran.

      Was ich noch gefunden habe, ist das es wohl einige router gibt die mit einer speziellen version von der tomato firmware laufen, einer sogenannten vyprvpn tomato firmware! Da dies mein problem anbieter zur zeit ist wäre das vll eine überlegung wert. Ich habe auch folgendes gerät gefunden, welches das beherrschen würde "Asus RT-N12 N300". Der würde auch preislich gut passen, allerdings steht in der offiziellen beschreibung das er nur pptp vpn beherrscht. Nun wäre sehr interessant zu wissen, ob er nach dem flashen der tomato firmware openvpn beherrscht oder nicht.
      Leider finde ich dazu nirgendwo im netz eine antwort

    • ich habe mich jetzt für einen router entschieden und zwar für den asus rt-ac51u. auf diesem lässt sich wohl open wrt installieren und mit diesem müsste ja sowohl das vpn thema als auch die sache mit dem killswitch machbar sein.

      ASUS RT-AC51U [OpenWrt Wiki] <----- hier mal ein link zu dem ganzen.

      Kann mir jemand von euch denn etwas helfen mit der installation der firmware davon? klar die ersten schritte verstehe ich soweit mit der LEDE installation, aber das was danach kommt mit Luci installieren für das webif usw dabei bräuchte ich hilfe, denn ich möchte den router nicht gleich bricken.

      kann mir da jemand tipps geben? oder eine anfänger freundlichere anleitung?

    • Ich habe folgendes Problem:

      Ich habe in meiner openvpn config mehrere remote adressen stehen, also zb server1 und server2. In meiner config steht der "remote-random" befehl welcher laut beschreibung angeblich wie eine art loadbalancer wirken sollte. Leider tut er genau das nicht, denn nachdem seit gestern server2 nicht funktioniert, hat meine vu+ nicht automatisch server 1 als verbindung gewählt sondern baute einfach keine verbindung mehr auf.
      das heißt das protokoll wählt nicht automatisch die beste funktioniernde verbindung so wie es ein loadbalancer tun würde, oder wählt wenigstens automatisch die 2. remote adresse wenn die erste nicht funktioniert, sondern die config wählt einfach per zufallsprinzip eine der remote adressen und wenn diese nicht funktioniert dann kommt keine verbindung zu stande.

      nun wäre meine frage: gibt es eine möglichkeit die config so zu ändern das bei mehreren remote adressen eine andere verbindung benutzt wird, falls eine davon ausfällt? oder das die config wenigstens solange alle remote adressen durchprobiert, solange bis eine gefunden wird die funktioniert?

      @Banana Joe du weisst doch hier sicherlich rat oder? ;)

    • hier die aktuelle config (die zertifikate habe ich weggekürzt, da sie ja wohl nicht von bedeutung sind):

      route 0.0.0.0 0.0.0.0
      proto tcp
      tun-mtu 1500



      cipher AES-128-CBC


      remote 111.222.333.44 1152
      remote 666.777.888.99 1142


      auth SHA512
      auth-user-pass pp.login
      client
      comp-lzo
      dev tun
      #float
      hand-window 120
      inactive 604800
      mute-replay-warnings
      nobind
      ns-cert-type server
      persist-key
      persist-remote-ip
      persist-tun
      ping 5
      ping-restart 120
      redirect-gateway def1
      reneg-sec 3600
      resolv-retry 60
      route-delay 2
      route-method exe
      script-security 2
      tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
      tls-timeout 5
      verb 4


      log /etc/openvpn/LOG.txt


      key-direction 1
      <ca>
      -----BEGIN CERTIFICATE-----
      xxx
      -----END CERTIFICATE-----


      </ca>


      <cert>
      -----BEGIN CERTIFICATE-----
      xxx
      -----END CERTIFICATE-----


      </cert>


      <key>
      -----BEGIN PRIVATE KEY-----
      xxx
      -----END PRIVATE KEY-----


      </key>


      <tls-auth>
      #
      # 2048 bit OpenVPN static key
      #
      -----BEGIN OpenVPN Static key V1-----
      xxx
      -----END OpenVPN Static key V1-----


      </tls-auth>


      also wie bereits erklärt wäre die frage, ob ich eine zeile einfügen kann in die config, damit im falle eines ausfalls von zb. server 111.222.333.44 automatisch als nächstes server 666.777.888.99 genutzt wird. aktuell wird leider immer nur der erste remote eintrag genutzt auch wenn dieser nicht erreichbar ist.ich habe auch schon versucht die zeile mit "resolv-retry" von 60 auf 5 und auf 0 zu setzten aber leider änderte auch das nichts!


      andere frage aber gleiches thema: wenn ich diese "killswitch" option nicht nutze (also keine interface datei anpasse) sondern stattdessen normal über die systemeinstellungen mein internet einrichte mit normalem gateway zu meinem router usw, aber als dns server die dns adressen eintrage von meinem vpn anbieter, welche nur nutzbar sind wenn eine verbidung zu einem der vpn server besteht, bin ich dann trotzdem "abgesichert"? besteht die internetverbindung dann trotzdem nur wenn auch openvpn läuft? oder besteht die gefahr das die box dann irgendwie doch das "normale" internet nutzt ohne einen tunnel vorher aufgebaut?

    • Ich möchte ja kein remote-random haben, denn das bringt sowieso nichts auser das er mal die remote adresse nimmt und mal die andere, aber wenn der fall eintritt das einer der server ausfällt nimmt er trotzdem nicht einer der anderen funktionierenden. Also von daher ist für mich remote-random sinnfrei. Ich bräuchte eine lösung das er im falle wenn er zu remote1 nicht verbinden kann nach einem fehlversuch zu remote2 springt!

      Die zeile persist-remote-ip war standart so eingetragen bei dieser openvpn datei. Was genau bewirkt diese?

    • @Banana Joe du geiler geiler typ :thumbsup:

      Ich habe die von dir kritisierte zeile "persist-remote-ip" rausgeworfen aus der config und siehe da: openvpn nutzt schön eine remote adresse nach der anderen! falls zb remote1 nicht funktioniert wird remote2 genutzt usw.

      Also einfach mal wieder genau ins schwarze getroffen mit deinem tipp :thumbsup:
      Das wirklich lustige daran ist: ich hatte parallel dazu den support meines vpn anbieters dazu gefragt, ob sie eine lösung für mein problem hätten und dieser meinte das ganze wäre so nicht möglich wie ich es vorhabe :D
      Also danke wiedermals für deine hilfe, was diese themen angeht bist du einfach einsame spitze

    • Hi, ich will den Thread nochmal ausgraben, da ich OpenVPN auf der Box auch nicht so recht traue. Und zwar kann ich per Pihole eindeutig nachvollziehen, dass die Box trotz aufgebautem OVPN Tunnel noch DNS Anfragen am Tunnel vorbei schickt, denn wenn sie das nicht täte, würden sie ja nicht im Pihole Log auftauchen, da sie dann, für Pihole nicht wahrnehmbar, durch den Tunnel laufen und erst beim VPN Server aufgelöst würden, bzw von dort aus dann erst der DNS Server angesprochen würde. Darüber ob die Tatsache, dass DNS Anfragen am Tunnel vorbei gehen, ein Problem darstellt oder nicht brauchen wir nicht diskutieren, ich habe es so nicht vorgesehen, daher stört es mich.

      Daher ist meine Idee die VPN Verbindung jetzt auch auf einen OpenWRT Router auszulagern, der dann als VPN Client gilt. Auserkohren habe ich mir den GL.iNet GL-MT300N V2, der hat 2 LAN Ports und wird praktischerweise per USB mit Strom versorgt, vielleicht reicht dafür der USB Port an der Box. Zudem könnte man damit auch gleich noch ein WLAN Netz aufspannen, das ebenfalls durch den VPN Tunnel geleitet wird. Für ein Gästenetz bspw. Klar, das geht sicherlich auch mit der Box, aber ich denke mit einem Router ist das alles deutlich einfacher und vorallem autarker.

      Nun zur eigentlichen Frage, wie sind die Langzeiterfahrungen mit diesen OpenWRT Routern als VPN Client? Hat da jemand näher nachgeforscht Richtung "Datenlecks", sprich Datenströme die am Tunnel vorbei gehen, obwohl sie durch den Tunnel sollten? Mein Anspruch ist, dass NUR der Verbindungsaufbau zum VPN Server offen durchs Internet geht und bis zu einem erfolgreich aufgebauten Tunnel alle anderen Anfragen ins Internet blockiert werden. Sobald der Tunnel dann steht soll ALLES durch den Tunnel geleitet werden. Reisst die Internetverbindung ab, soll das Spiel von vorne beginnen, sprich wieder alle Anfragen blocken, die nicht zum Aufbau des VPN Tunnels dienen, bis der Tunnel steht und sobald dieser steht, alles durch ihn leiten.
      Stellt der "Killswitch" genau diese Funktion bereit oder meint das was anderes?
      TV: LG 42LH3010
      Receiver: VU+ Solo2 + NFS Einbindung
      Netzwerk: AVM Fritzbox 7490 | ZyXEL GS1900-24E Web-Managed Switch |2x Unifi AP AC Pro | 2x Unifi UAP-AC-M
      NAS: Synology DS918+ | RaspberryPi@Oscam r11392, Sky V13

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Euklid ()

    • Ich würde mal Sagen wenn du dich nicht wirklich gut mit OpenWRT auskennst dann wird das mit "Killswitch" schwer.
      DD-WRT wäre hier die bessere Wahl, da etwas Benutzerfreundlicher, als OpenWRT.

      Ich selbst benutze schon Jahrelang einen ASUS RT-AC87U mit AsusWRT Merlin.
      Im Menü des Routers sind all diese Sachen einstellbar die du hier ansprichst (VPN, Police Routing, Killswitch)

      Man kann hier auch angeben welche Geräte bzw. MAC-Adressen über VPN ins Internet gehen.
      Ist VPN down greift der Killswitch und lässt die ausgewählten Geräte nicht mehr ins Internet,
      bis der VPN-Tunnel wieder steht.
      „In Deutschland ist die höchste Form der Anerkennung der Neid.“
      Arthur Schopenhauer

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Eisman ()