"Killswitch" bei OpenVPN

Mitglied: blacksun

blacksun (Level 1) - Jetzt verbinden

02.01.2021, aktualisiert 15:41 Uhr, 622 Aufrufe

Hallo,

ich betreibe am heimischen Internetzugang mittels RaspberryPI einen OVPN-Server um mit meinen Clients (Smartphone, Laptop, Tablet, usw.) über den heimischen Internetzugang einen Internetzugriff zu haben (z.B. wegen Nutzung Pihole, Vermeiden von Internetzugriff-Sperrungen bzw. -Drosselungen) und natürlich um einen verschlüsselten Kanal durch den Gast-Internetzugang zu haben der mit dem jeweiligen Endgerät gerade genutzt wird.
Ich nutze OVPN 2.5 sowohl auf Server- als auch Clientseite.

Auszüge aus den Konfig:
Server:
Client
Diese Gefahren sollen beseitigt werden:
Wird die VPN-Verbindung unterbrochen, können sämtliche Anwendungen auf dem Client wieder über das Gastnetzwerk kommunizieren bis eine OVPN-Verbindung wieder erfolgreich aufgebaut wurde. Für den Internetzugriff bedeutet das u.a. dass der Internetzugriff für alle Anwendungen unverschlüsselt über das Gast-WLAN (für den Betreiber sichtbar wohin eine Verbindung aufgebaut wird) erfolgt und auch die DNS-Server des Betreibers benutzt werden. Der Anwender bemerkt dies in der Regel nicht da die VPN-Verbindung im Hintergrund läuft (in einem Fenster, oder als Dienst).

Anders formuliert, "redirect-gateway def1" wirkt nur wenn die Verbindung erfolgreich besteht und entfällt nicht erst wenn OVPN-beendet wird, sondern bereits bei Verbindungsabbruch.

OVPN bietet selbst keinen Killswitch an wie ich gelesen habe da dieser individuell pro OS auf OS-Ebene umgesetzt werden muss. Ich habe als Lösungsvorschlag gelesen entweder auf Firewall-Regeln zu setzen oder aber alle Routen zu Löschen ausser die eine zum VPN-Server.
Mir gefällt die Lösung über Routen besser da diese weniger fehleranfällig ist als Sperren auf Port- oder Protokoll-Ebene.

Als Lösungsansatz habe ich mir an diesem Vorschlag orientiert (aber nur auf Schnittstellen-Ebene, also "ufw reset", "ufw allow out on tun0 from any to any" und "ufw enable", nicht mit allow/deny outgoing/incoming).

Meine Fragen bzw. Probleme:
a) wann bearbeite ich am die Routen am Besten? Beim Verbindungsaufbau bietet mir OVPN an: -up, -route-up und -up-delay, beim Verbindungsabbau: -down, -route-pre-down und -down-pre

b) up und down benötige ich bereits für update-resolv-conf . Kann man mehrere skripte/exe mit bei einer Option angeben, wenn ja wie? U.a. benötige ich als Befehl "yes | ufw reset" so dass die Frage von ufw reset mit yes beantwortet wird.

c) update-resolv-conf fügt in die resolv.conf die DNS-Server ein die in meinem Fall per push auf den Client kommen ohne die DNS-Einträge vom Gastnetzwerk zu entfernen. Laut Doku für OVPN 2.4 gibt es die Option block-outside-dns mit der DNS-Server ausserhalb des Tunnels blockiert werden sollen. Leider gibt es noch keine Doku für 2.5. Gibt es die Option nicht mehr?

d) Gibt es die Optionen "show-net-up" und "show-net" in V2.5 ebenfalls nicht mehr? Bei einigen anderen Optionen steht "DEPRECATED" in der Doku zu 2.4, aber nicht bei den beiden.

Vielen Dank schonmal
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Microsoft
Massenumbenennung von Dateien und Ordnern
breakballVor 1 TagFrageMicrosoft12 Kommentare

Hallo zusammen, falls der Beitrag in dieser Kategorie falsch ist, bitte in die richtige verschieben. Stehe vor folgender Aufgabe, in einem Datenverzeichnis befinden sich ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 20 StundenInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Windows Systemdateien
Windows 10 Kernisolierung: Inkompatible Treiber entfernen
FrankVor 1 TagAnleitungWindows Systemdateien1 Kommentar

Hallo, Eigentlich wollte ich nur den Empfehlungen der Windows Sicherheit nachgehen und unter Einstellungen -> Windows Sicherheit -> Kernisolierung, die Speicher-Integrität einschalten. Die Kernisolierung ...

Vmware
ESXI 6.5 Fehlgeschlagen - Zugriff auf eine Datei nicht möglich, weil sie gesperrt ist
gelöst zeroblue2005Vor 1 TagFrageVmware5 Kommentare

Hallo Zusammen, da meint man es gut und dann geht es in die Hose Aber erst mal zum IST-Zustand: - ESXI 6.5 U1 (Standalone) ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...