OpenVPN Kill Switch
-
Themen Author - Neues Foren Mitglied
- Beiträge: 3
- Registriert: Mittwoch 3. Juli 2019, 18:14
- CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
- GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
- Kernel: 5.1.15-1-MANJARO
- Desktop-Variante: was ist das
- GPU Treiber: 430.26
OpenVPN Kill Switch
Moin da ich gerade denn Wechsel von Windows 10 hinter mir habe und jetzt gerne meine VPN (PP) Verbindung realisieren möchte bräuchte ich ein paar Tipps wie ich einen Killswitch hinbekomme mit IPFire . Ich verliere ab und an die Verbindung zum meinem VPN Anbieter , sehe ich das richtig das es möglich ist den gesamten Traffic über das VPN zu leiten mit IPFire und eine ständige VPN Verbindung aufrecht zu erhalten ?. Habe schon gegoogelt aber nur wenig bis gar nichts gefunden zu diesem Thema und wenn in Englisch dies zählt nicht zu meinen Stärken. Wäre über Tipps sehr dankbar.
Gruß Ben
Gruß Ben
-
- Forum Held
- Beiträge: 2232
- Registriert: Dienstag 24. Mai 2016, 13:33
- CPU: Intel i5-3210M
- GPU: Intel HD 4000
- Kernel: 4.19
- Desktop-Variante: Openbox
- GPU Treiber: i915
- Hat sich bedankt: 20 Mal
- Danksagung erhalten: 495 Mal
Re: OpenVPN Kill Switch
Hallo bengraber,
Eine halbwegs vernünftige Lösung kannst Du über eine Firewall einrichten. Ich übertrage mal sinngemäß diesen Artikel https://security.stackexchange.com/ques ... h-on-linux ins deutsche.
1. Wenn noch nicht vorhanden dann einrichten einer Systemgruppe openvpn mit
2. zur OpenVPN-Konfigurationsdatei diese Zeile hinzufügen
3. Firewall (iptables) einrichten:
4. Schlussbemerkung
wenn das funktioniert (ich habe es nicht praktisch getestet, aber es sieht IMHO gut aus), sollte der Verkehr nur noch über VPN möglich sein, oder andersrum, wenn kein VPN dann auch kein Internet.
Kann sein, daß an den Regeln noch gefeilt werden muss, z.B. um Kommunikation mit Geräten im eigenen Netzwerk zu ermöglichen, aber als Grundlösung sollte dies genügen.
Ob dies aber die Mühe lohnt ist etwas zweifelhaft, weil es dir eine Sicherheit und Anonymität vorgaukeln könnte, die so nicht existiert.
viele Grüße gosia
Eine halbwegs vernünftige Lösung kannst Du über eine Firewall einrichten. Ich übertrage mal sinngemäß diesen Artikel https://security.stackexchange.com/ques ... h-on-linux ins deutsche.
1. Wenn noch nicht vorhanden dann einrichten einer Systemgruppe openvpn mit
Code: Alles auswählen
groupadd -r openvpn
Code: Alles auswählen
group openvpn
Code: Alles auswählen
# alle Regeln zurücksetzen. Das kann zum Abbruch der normalen Internet-Verbindung führen
iptables -F
# Der VPN client soll mit der Aussenwelt kommunizieren
iptables -A OUTPUT -j ACCEPT -m owner --gid-owner openvpn
# Loopback ist harmlos und TUN wird für's VPN gebraucht -> zulassen
iptables -A OUTPUT -j ACCEPT -o lo
iptables -A OUTPUT -j ACCEPT -o tun+
# Antworten sollten auch zugelassen werden
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED
# der restliche Traffic wird abgelehnt
iptables -P OUTPUT DROP
iptables -P INPUT DROP
wenn das funktioniert (ich habe es nicht praktisch getestet, aber es sieht IMHO gut aus), sollte der Verkehr nur noch über VPN möglich sein, oder andersrum, wenn kein VPN dann auch kein Internet.
Kann sein, daß an den Regeln noch gefeilt werden muss, z.B. um Kommunikation mit Geräten im eigenen Netzwerk zu ermöglichen, aber als Grundlösung sollte dies genügen.
Ob dies aber die Mühe lohnt ist etwas zweifelhaft, weil es dir eine Sicherheit und Anonymität vorgaukeln könnte, die so nicht existiert.
viele Grüße gosia
-
Themen Author - Neues Foren Mitglied
- Beiträge: 3
- Registriert: Mittwoch 3. Juli 2019, 18:14
- CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
- GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
- Kernel: 5.1.15-1-MANJARO
- Desktop-Variante: was ist das
- GPU Treiber: 430.26
Re: OpenVPN Kill Switch
Vielen Dank für die Mühe und deine schnelle Antwort gosia !!!. Wenn ich zwei Profile Haben möchte ist das mit der gufw möglich ?.ich Stelle mir es so vor:
Profil 1 ohne VPN
Profil 2 mit VPN
Wenn dies nicht möglich ist wie kann ich das wieder rückgängig Machen also wieder zurück zu den normalen Einstellungen ohne VPN? . Ich habe mehrere Geräte im meinem Netzwerk NAS Server und die üblichen Geräte wie TV , mehrere PCs und einen Raspberry Pi ( Pi Hole ) auf die ich auch Zugriff haben muss auch mit SSH , muss ich dann einfach Ports freigeben geben in denn Firewall Regeln ?
Profil 1 ohne VPN
Profil 2 mit VPN
Wenn dies nicht möglich ist wie kann ich das wieder rückgängig Machen also wieder zurück zu den normalen Einstellungen ohne VPN? . Ich habe mehrere Geräte im meinem Netzwerk NAS Server und die üblichen Geräte wie TV , mehrere PCs und einen Raspberry Pi ( Pi Hole ) auf die ich auch Zugriff haben muss auch mit SSH , muss ich dann einfach Ports freigeben geben in denn Firewall Regeln ?
-
- Forum Held
- Beiträge: 2232
- Registriert: Dienstag 24. Mai 2016, 13:33
- CPU: Intel i5-3210M
- GPU: Intel HD 4000
- Kernel: 4.19
- Desktop-Variante: Openbox
- GPU Treiber: i915
- Hat sich bedankt: 20 Mal
- Danksagung erhalten: 495 Mal
Re: OpenVPN Kill Switch
Hallo bengraber,
ist jetzt aber bloß so eine unklare Idee. Das "erreichbar" testen igendwie mit ping prüfen...
ein, da siehst Du die. Die können dann mit "allow" zugelassen werden. Z.B.
erlaubt ssh. Das wäre aber noch sehr grob, Du kannst das auch auf bestimmte Adressen begrenzen
Das lässt sich beliebig ausbauen, ist aber so komplex, daß sich ganze Bücher darübe scheiben lassen. Google mal nach "ufw", da gibt es massig Anleitungen zu, auch deutschsprachige, z.B.
https://wiki.ubuntuusers.de/ufw/
die Distri sollte da keine Rolle spielen, weil ufw auf allen gleich funktioniert.
viele Grüße gosia
Ja, aber es ist immer nur ein Profil aktiv. Müsstest Du also umschalten zwischen Profil1 und Profil2. Lässt sich vielleicht auch mit einem Skript automatisieren, so in der Art
Code: Alles auswählen
if vpn erreichbar then
profil2
else
profil1
fi
Im Prinzip ja. Aber wenn Du ufw benutzt gibt es schon vordefinierte Einstellungen, die Du benutzen kannst. Gib mal
Code: Alles auswählen
sudo ufw app list
Code: Alles auswählen
ufw allow ssh
Code: Alles auswählen
sudo ufw allow from 192.168.178.0/24 to any port 22
https://wiki.ubuntuusers.de/ufw/
die Distri sollte da keine Rolle spielen, weil ufw auf allen gleich funktioniert.
viele Grüße gosia
-
- Forum Held
- Beiträge: 2232
- Registriert: Dienstag 24. Mai 2016, 13:33
- CPU: Intel i5-3210M
- GPU: Intel HD 4000
- Kernel: 4.19
- Desktop-Variante: Openbox
- GPU Treiber: i915
- Hat sich bedankt: 20 Mal
- Danksagung erhalten: 495 Mal
Re: OpenVPN Kill Switch
Hallo Ben,
Du bist nicht zufällig auch pearsimmon?
https://mxlinux.org/forum/viewtopic.php ... 77#p513183
wenn nicht, kannst Du ja trotzdem versuchen, dort mitzulesen.
viele Grüße gosia
Du bist nicht zufällig auch pearsimmon?
https://mxlinux.org/forum/viewtopic.php ... 77#p513183
wenn nicht, kannst Du ja trotzdem versuchen, dort mitzulesen.
viele Grüße gosia
-
Themen Author - Neues Foren Mitglied
- Beiträge: 3
- Registriert: Mittwoch 3. Juli 2019, 18:14
- CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
- GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
- Kernel: 5.1.15-1-MANJARO
- Desktop-Variante: was ist das
- GPU Treiber: 430.26
Re: OpenVPN Kill Switch
Habe mir denn Link Mal angeschaut , ich Versuche jetzt erstmal die Materie zu verstehen damit ich auch nachvollziehen kann was ich da alles eingebe ins Terminal . Habe gerade ein paar Bier im Kopf und die Versuchung deinen Vorschlag in die Tat umzusetzen ist sehr groß . Wer soll der User pearsimmon sein ? Nein das bin ich nicht bin hier durch einen bluescreen und fatal error im Klarnamen angemeldet . Nocheinmal viele Dank für deine Mühe ist Mann so nicht gewohnt , aber die Linux Community ist einfach geil weiter so !
-
- Forum Held
- Beiträge: 2232
- Registriert: Dienstag 24. Mai 2016, 13:33
- CPU: Intel i5-3210M
- GPU: Intel HD 4000
- Kernel: 4.19
- Desktop-Variante: Openbox
- GPU Treiber: i915
- Hat sich bedankt: 20 Mal
- Danksagung erhalten: 495 Mal
Re: OpenVPN Kill Switch
Hallo Ben,
viele Grüße gosia
Keine Ahnung War eben ein Zufall, daß zwei Leute fast zur gleichen Zeit das gleiche Problem hatten.
gute Idee. Sieh dir auf jeden Fall den Ubuntu-Link an, das ist schon mal eine gute Grundlage.
viele Grüße gosia
-
- Neues Foren Mitglied
- Beiträge: 3
- Registriert: Sonntag 13. September 2020, 21:09
- CPU: Intel
- GPU: Intel
- Kernel: 5.
- Desktop-Variante: DE
- GPU Treiber: Intel
Re: OpenVPN Kill Switch
Es gibt in Cinnamon auch noch das "VPN Look-Out Applet".
Damit ist es möglich:
- automatisch zu verbinden und
- bei Abbruch erneut zu verbinden
- zwischen verschiedenen VPN Verbindungen zu wechseln
- ein akustisches Alarmsignal bei Ausfall zu bekommen
- einzelne Anwendungen ohne VPN zu blockieren
- Activity Log zu aktivieren und anzeigen zu lassen.
Über die Einstellungen "VPN-related Apps Manager" kann man Managed Apps hinzufügen und einen Haken bei "VPN-only" setzen.
Damit bleibt die Anwendung offen, wird aber bei Ausfall blockiert. Dabei werden pro Sekunde 7-10 Zeilen im Log erzeugt: Blocked by vpnLookOut: firefox.
Es gibt auch eine "Shutdown" und eine "Restart" Option. Dabei werden die betreffenden Anwendung geschossen, oder erneut gestartet sobald wieder VPN Verbindung verfügbar ist.
Sowas ist eventuell für Torrent Nutzer interessant, dort ist auch das Programm "Transmission-gtk" standardmäßig hinterlegt. Ich habe es nicht getestet.
Soweit ich es beurteilen kann, scheint dieses Applet gut zu funktionieren. Ich bin kein professioneller VPN Tester.
Aber Vorsicht bem spielen am Kill Switch, wenn man es übertreibt wird eventuell ein Neustart nötig..
Damit ist es möglich:
- automatisch zu verbinden und
- bei Abbruch erneut zu verbinden
- zwischen verschiedenen VPN Verbindungen zu wechseln
- ein akustisches Alarmsignal bei Ausfall zu bekommen
- einzelne Anwendungen ohne VPN zu blockieren
- Activity Log zu aktivieren und anzeigen zu lassen.
Über die Einstellungen "VPN-related Apps Manager" kann man Managed Apps hinzufügen und einen Haken bei "VPN-only" setzen.
Damit bleibt die Anwendung offen, wird aber bei Ausfall blockiert. Dabei werden pro Sekunde 7-10 Zeilen im Log erzeugt: Blocked by vpnLookOut: firefox.
Es gibt auch eine "Shutdown" und eine "Restart" Option. Dabei werden die betreffenden Anwendung geschossen, oder erneut gestartet sobald wieder VPN Verbindung verfügbar ist.
Sowas ist eventuell für Torrent Nutzer interessant, dort ist auch das Programm "Transmission-gtk" standardmäßig hinterlegt. Ich habe es nicht getestet.
Soweit ich es beurteilen kann, scheint dieses Applet gut zu funktionieren. Ich bin kein professioneller VPN Tester.
Aber Vorsicht bem spielen am Kill Switch, wenn man es übertreibt wird eventuell ein Neustart nötig..