VPN für China

Guten morgen,

dazu gibt es hier schon einige Beiträge
hier zum Beispiel
oder auch diesen
und einige andere auch noch, bitte einfach die Suchfunktion benutzen, sollte da nichts passendes dabei sein.

Moin,

VPN in China ist verboten, bzw. nur durch autorisierte Provider erlaubt, was ein kurzes googlen zeigt:

https://www.google.de/amp/s/de.vpnmentor.com/amp/blog/darum-sind-vpns-ch ...

Daher blockiert China an der großen (Brand-)Mauer VPNs.


lks

Ich kenn die Problematik nur von einem Bekannten, der für eine eher sehr große Firma arbeitet, die auch in China ein paar Filialen hat.

Sie haben da jetzt nicht wirklich Probleme. Sie lassen den entsprechenden Stellen gewisse Zuwendungen zukommen.
Die, die sich das nicht leisten können sind der Willkür des Politbüros ausgesetzt.
Knackpunkt ist halt, dass China de facto VPNs verboten hat.
Man müsste zu einem geduldeten VPN-Anbieter bzw. Software wechseln (eher unwahrscheinlich), oder man macht eben das Spielchen und tunnelt wohl illegal selber. Wobei da eben bei Problemen immer wieder die IP und/oder Ports gewechselt werden müssen.
VNC statt VPN kann dann wirklich mal ein Ansatz sein.

Morgen!

Es gibt von Alibaba Cloud welche mit Vodafone in DE zusammen arbeiten ein VPN Service. Ist zwar etwas teuer wie ich finde, funktioniert anscheinend aber richtig gut.
Wir müssen da uns auch in Zukunft gedanken drüber machen. Haben auch schon ein Angebot von Vodafone. Kann natürlich sein, dass noch andere Anbieter mit Alibaba zusammen arbeiten.

Kann dazu noch nicht viel sagen... Wenn ich mehr weiß, und du noch keine Lösung hast, melde ich mich nochmal

https://www.alibabacloud.com/product/vpn-gateway

Gruß

Nachtrag:

https://www.vodafone.de/business/loesungen/cloud-alibaba.html

Hallo,

aus Erfahrung kann ich sagen das VPN mit vielen Provider inzwischen in China durchaus funktioniert, solange es DSL oder ähnliches ist.
VPN mit den meisten Mobilfunk Providern ist eher schwierig. Das ist teilweise sogar von Region zu Region unterschiedlich, insbesondere in Sonderwirtschaftszonen funktioniert es meist

Wenn ihr eine Niederlassung in China habt soll sich die bei den Mobilfunk Providern informieren mit welchen Anbietern es klappt....

@passy951
VPN über ein Cloud Lösung? Dann kannst du VPN auch gleich weglassen....

brammer

Warum kann ich VPN dann gleich weg lassen?

Es wird lediglich eine Verbindung zwischen Meinem Standort in DE <-> RZ Vodafone <-> Alibaba Cloud RZ China <-> Standort China aufgebaut.

Bei China ganz tödlich. Nicht nur das Teamviewer einen Vermutllungshost nutzt der so oder so alles mitschnorchelt kann man sicher davon ausgehen das dieser Traffic auch von China entsprechend redirected und von der großen Firewall abgeschnorchelt und analysiert wird. Da er unverschlüsselt ist haben Überwacher einfachstes Spiel.
Sowas ist in Bezug auf Firmengeheimnisse ein absolutes NoGo, wie Teamviewer im Firmenumfeld sowieso. In vielen Firmen ist sowas ein Kündigungsgrund da Verstoß gegen die Sicherheitspolicy !

Das passiert im wesentlich mit fast jedem Traffic, wenn man diversen Berichten glauben darf. Von daher würde ich nicht darauf Vertrauen, daß Firmengeheimnisse überhaupt sicher übertragen werden können. Ich würde jedenfalls ein VPN über covered/subliminal channels für sowas benutzen, aber die gibt es aktuell nicht von der Stange, sondern muß individuell implementiert werden.

lks

Hallo,


okay.... Und du gehst davon aus die Daten auf dem gesamten Weg, auch durch das Alibaba RZ, verschlüsselt und unter deiner Kontrolle sind?

Kann man Glauben, ist halt Sch...

brammer

Das Thema gab es hier letztens noch.
Einfach über Citrix arbeiten wäre dort auch eine Option.

Hi aqui!

Das ist ein spannendes Thema! (Und der Grund, warum ich ChunkVNC mit einem eigenen Repeater für meine Fernwartung einsetze...)

Hier: https://forum.dd-wrt.com/phpBB2/viewtopic.php?p=133436&sid=bf96f27ff ...

wird eine Lösung für OpenVPN und den Port 563 empfohlen.

Trotzdem würde ich versuchen (keine China-Erfahrung) bei den offiziellen Stellen anzufragen. Diese Mauer soll die chinesische nicht privilegierte Bevölkerung vom Abgleich ihrer Informationen mit der Weltpresse abhalten, nicht einen Firmenmitarbeiter von der sicheren Verbindung mit seiner Homebase. Was sagt denn das Konsulat zu dem Thema???

LG
Buc

In der Firma meines Bekannten werden wichtige Geschichten ganz gesondert übertragen. Zum Teil so wie man es aus den 80er Jahre Agententhriller kennt. Die wissen, dass deren Traffic überwacht wird. Das geben die Verantwortlichen in China auch offen zu. Also...offen unter der Hand. Genau für diesen Zweck haben die ja diese authorisierten VPN-Anbieter eingeführt.

Aber man muss da auch mal die Kirche im Dorf lassen. Diejenigen, die wirklich so sensible Daten übermitteln müssen, haben sowieso einen guten Draht zum Politbüro. Und diejenigen, die keinen guten Draht haben, haben in der Regel keine so richtig sensible Daten, für die sich China interessiert.
Von daher ist der Weg über die offiziellen Möglichkeiten wohl das einfachste. Auch wenn man da weiß, dass da abgegriffen wird.

Schau dir mal das Thema "xor scramble patch" für openVPN an - 2016/2017 hat das wunderbar funktioniert, da die GreatFirewall seinerzeit nicht den unterschied zwischen OpenVPN und HTTPS packets sah - d.h. wenn dein Server den Dienst auf 443 via TCP anbietet und die IP auf keiner China NoGo Liste steht, wäre es einen versuch wert.

Aber erst nach dem Patchen versuchen, sonst landest schneller auf der Parteiliste als es dir lieb ist

Doch. Immer wenn aktuelle Verschlüsselung eingesetzt werden kann.

Unverschlüsseltes (Aufbrechbares") VPN? MITM? Ähm, sorry, aber geht nicht. (Mein Wissenstand) 80er? Tote Briefkästen?
Sicher richtig.

Was und wie?

Eine VPN Verbindung, die ich nur bis zum chinesischen Endpoint kontrollieren kann ist Fake-VPN. . Bad Encryption. Bad for the world. Bad for trust. Bad for trustful relashionships. Fake News. Wie man das heute gern mal in der Weltpolitik herunterbricht.

Wenn du da also noch etwas konkreter werden könntest, @127132: , wäre das sehr interessant.

Nächtens
Buc

Hallo passy951,
hallo zusammen,

ich bin durch Zufall auf diesen Beitrag gestoßen und möchte gerne privat meinen Senf dazu geben
Eins vorweg, damit es transparent ist: Ich bin Vodafone-Mitarbeiter und erhalte keinerlei Vertriebsprovisionen.


Man merkt, dass in letzter Zeit immer mehr bisher funktionierende VPN-Lösungen geblockt und geahndet werden. Alibaba Cloud ist einer der wenigen Anbieter, die die chinesische Firewall legal tunneln dürfen.

Den Dienst, den wir gemeinsam mit Alibaba Cloud anbieten, ist kein VPN-Service (CN-Mainland<->HK oder DE), sondern läuft über das private Netzwerk von Alibaba Cloud. Hierbei werden zwei Rechenzentren von Alibaba Cloud via Cloud Enterprise Network (CEN) miteinander verbunden. Nur die Verbindung innerhalb von Deutschland oder China zum jeweiligen RZ läuft via VPN.
Vorteile: Ping von ca. 130ms, 0% Packet loss und SLA von 99,95%.

Eine typische Verbindung könnte wie folgt aussehen:
(Standort DE)<-VPN-Gateway/Vodafone MPLS->(RZ DE)<-Alibaba Cloud CEN->(RZ CN)<-VPN-Gateway>(Standort CN)

Alternativ zu diesem Aufbau kann anstatt der VPN-Gateways (IPsec) in Deutschland und China auch ein virtueller Server mit eigener Software betrieben werden. Dann muss jedoch ins besondere auf die Einhaltung des China Internet Security Law geachtet werden (Verschlüsselung etc.).

Preislich sieht es beispielsweise so aus:
CEN DE-CN mit 2Mbit/s synchron: 306$/Monat
VPN-Gateway: ab je 45$ + Traffic
Alternativ: zwei virtuelle Server ab je 15$/Monat + Traffic

Bezüglich möglicher benötigigten Zertifikate oder Sicherheistbedenken, verweise ich mal auf diese Seite:
https://www.alibabacloud.com/trust-center

Solltet ihr spezielle Fragen/Ideen haben, können wir diese gerne hier diskutieren

Niclas

Ein Schelm wer Böses dabei denkt !!
Das Problem bei dieser Lösung ist die letzte Meile vom Ali Baba RZ zum Endstandort.
Dort ist die Verschlüsselung vorgegeben bzw. chinesische Überwachungs Behörden haben den Master Key vom Ali und die 40 Räuber lauern da natürlich mit großen Ohren. Klappt für den der damit leben kann aber sicher ist sowas natürlich nicht.

Ob du es glaubst oder nicht: Es gibt bei Vodafone Mitarbeiter, die einfach Spaß an Kundenlösungen haben und sich auch in ihrer Freizeit gerne damit beschäftigen


Wie in diesem Beitrag schon von anderen Nutzern bemerkt wurde ist China IT-technisch ein stark reguliertes Land. Die meisten VPN Lösungen von teils etwas undurchsichtigen Anbietern sind nicht wirklich legal.
Ohne jetzt eine politische Diskussion wegen der "letzten Meile" und Vertrauen in die Cloud anfangen zu wollen, aber dann müssten wir uns mindestens auch bei den amerikanischen Cloud-Anbietern & Behörden Gedanken machen oder nicht?

VG und ein schönes zweites Adventswochenende
Niclas