OpenVPN Kill Switch

Hilfe bei der Installation von Manjaro Linux!
Antworten

Themen Author
bengraber
Neues Foren Mitglied
Neues Foren Mitglied
Beiträge: 3
Registriert: Mittwoch 3. Juli 2019, 18:14
CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
Kernel: 5.1.15-1-MANJARO
Desktop-Variante: was ist das
GPU Treiber: 430.26

OpenVPN Kill Switch

#1

Beitrag von bengraber »

Moin da ich gerade denn Wechsel von Windows 10 hinter mir habe und jetzt gerne meine VPN (PP) Verbindung realisieren möchte bräuchte ich ein paar Tipps wie ich einen Killswitch hinbekomme mit IPFire . Ich verliere ab und an die Verbindung zum meinem VPN Anbieter , sehe ich das richtig das es möglich ist den gesamten Traffic über das VPN zu leiten mit IPFire und eine ständige VPN Verbindung aufrecht zu erhalten ?. Habe schon gegoogelt aber nur wenig bis gar nichts gefunden zu diesem Thema und wenn in Englisch dies zählt nicht zu meinen Stärken. Wäre über Tipps sehr dankbar.

Gruß Ben
Benutzeravatar

gosia
Forum Held
Forum Held
Beiträge: 2232
Registriert: Dienstag 24. Mai 2016, 13:33
CPU: Intel i5-3210M
GPU: Intel HD 4000
Kernel: 4.19
Desktop-Variante: Openbox
GPU Treiber: i915
Hat sich bedankt: 20 Mal
Danksagung erhalten: 495 Mal

Re: OpenVPN Kill Switch

#2

Beitrag von gosia »

Hallo bengraber,
Eine halbwegs vernünftige Lösung kannst Du über eine Firewall einrichten. Ich übertrage mal sinngemäß diesen Artikel https://security.stackexchange.com/ques ... h-on-linux ins deutsche.

1. Wenn noch nicht vorhanden dann einrichten einer Systemgruppe openvpn mit

Code: Alles auswählen

groupadd -r openvpn
2. zur OpenVPN-Konfigurationsdatei diese Zeile hinzufügen

Code: Alles auswählen

group openvpn
3. Firewall (iptables) einrichten:

Code: Alles auswählen

# alle Regeln zurücksetzen. Das kann zum Abbruch der normalen Internet-Verbindung führen
iptables -F

# Der VPN client soll mit der Aussenwelt kommunizieren
iptables -A OUTPUT -j ACCEPT -m owner --gid-owner openvpn

# Loopback ist harmlos und TUN wird für's VPN gebraucht -> zulassen
iptables -A OUTPUT -j ACCEPT -o lo
iptables -A OUTPUT -j ACCEPT -o tun+

# Antworten sollten auch zugelassen werden
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED

# der restliche Traffic wird abgelehnt
iptables -P OUTPUT DROP
iptables -P INPUT DROP
4. Schlussbemerkung
wenn das funktioniert (ich habe es nicht praktisch getestet, aber es sieht IMHO gut aus), sollte der Verkehr nur noch über VPN möglich sein, oder andersrum, wenn kein VPN dann auch kein Internet.
Kann sein, daß an den Regeln noch gefeilt werden muss, z.B. um Kommunikation mit Geräten im eigenen Netzwerk zu ermöglichen, aber als Grundlösung sollte dies genügen.
Ob dies aber die Mühe lohnt ist etwas zweifelhaft, weil es dir eine Sicherheit und Anonymität vorgaukeln könnte, die so nicht existiert.

viele Grüße gosia

Themen Author
bengraber
Neues Foren Mitglied
Neues Foren Mitglied
Beiträge: 3
Registriert: Mittwoch 3. Juli 2019, 18:14
CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
Kernel: 5.1.15-1-MANJARO
Desktop-Variante: was ist das
GPU Treiber: 430.26

Re: OpenVPN Kill Switch

#3

Beitrag von bengraber »

Vielen Dank für die Mühe und deine schnelle Antwort gosia !!!. Wenn ich zwei Profile Haben möchte ist das mit der gufw möglich ?.ich Stelle mir es so vor:

Profil 1 ohne VPN
Profil 2 mit VPN

Wenn dies nicht möglich ist wie kann ich das wieder rückgängig Machen also wieder zurück zu den normalen Einstellungen ohne VPN? . Ich habe mehrere Geräte im meinem Netzwerk NAS Server und die üblichen Geräte wie TV , mehrere PCs und einen Raspberry Pi ( Pi Hole ) auf die ich auch Zugriff haben muss auch mit SSH , muss ich dann einfach Ports freigeben geben in denn Firewall Regeln ?
Benutzeravatar

gosia
Forum Held
Forum Held
Beiträge: 2232
Registriert: Dienstag 24. Mai 2016, 13:33
CPU: Intel i5-3210M
GPU: Intel HD 4000
Kernel: 4.19
Desktop-Variante: Openbox
GPU Treiber: i915
Hat sich bedankt: 20 Mal
Danksagung erhalten: 495 Mal

Re: OpenVPN Kill Switch

#4

Beitrag von gosia »

Hallo bengraber,
bengraber hat geschrieben: ↑Donnerstag 4. Juli 2019, 03:41 Wenn ich zwei Profile Haben möchte ist das mit der gufw möglich ?
Ja, aber es ist immer nur ein Profil aktiv. Müsstest Du also umschalten zwischen Profil1 und Profil2. Lässt sich vielleicht auch mit einem Skript automatisieren, so in der Art

Code: Alles auswählen

if vpn erreichbar then
  profil2
else
  profil1
fi
ist jetzt aber bloß so eine unklare Idee. Das "erreichbar" testen igendwie mit ping prüfen...
bengraber hat geschrieben: ↑Donnerstag 4. Juli 2019, 03:41 muss ich dann einfach Ports freigeben geben in denn Firewall Regeln ?
Im Prinzip ja. Aber wenn Du ufw benutzt gibt es schon vordefinierte Einstellungen, die Du benutzen kannst. Gib mal

Code: Alles auswählen

sudo ufw app list
ein, da siehst Du die. Die können dann mit "allow" zugelassen werden. Z.B.

Code: Alles auswählen

ufw allow ssh
erlaubt ssh. Das wäre aber noch sehr grob, Du kannst das auch auf bestimmte Adressen begrenzen

Code: Alles auswählen

sudo ufw allow from 192.168.178.0/24 to any port 22
Das lässt sich beliebig ausbauen, ist aber so komplex, daß sich ganze Bücher darübe scheiben lassen. Google mal nach "ufw", da gibt es massig Anleitungen zu, auch deutschsprachige, z.B.
https://wiki.ubuntuusers.de/ufw/
die Distri sollte da keine Rolle spielen, weil ufw auf allen gleich funktioniert.

viele Grüße gosia
Benutzeravatar

gosia
Forum Held
Forum Held
Beiträge: 2232
Registriert: Dienstag 24. Mai 2016, 13:33
CPU: Intel i5-3210M
GPU: Intel HD 4000
Kernel: 4.19
Desktop-Variante: Openbox
GPU Treiber: i915
Hat sich bedankt: 20 Mal
Danksagung erhalten: 495 Mal

Re: OpenVPN Kill Switch

#5

Beitrag von gosia »

Hallo Ben,
Du bist nicht zufällig auch pearsimmon?
https://mxlinux.org/forum/viewtopic.php ... 77#p513183

wenn nicht, kannst Du ja trotzdem versuchen, dort mitzulesen.

viele Grüße gosia

Themen Author
bengraber
Neues Foren Mitglied
Neues Foren Mitglied
Beiträge: 3
Registriert: Mittwoch 3. Juli 2019, 18:14
CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
Kernel: 5.1.15-1-MANJARO
Desktop-Variante: was ist das
GPU Treiber: 430.26

Re: OpenVPN Kill Switch

#6

Beitrag von bengraber »

Habe mir denn Link Mal angeschaut , ich Versuche jetzt erstmal die Materie zu verstehen damit ich auch nachvollziehen kann was ich da alles eingebe ins Terminal . Habe gerade ein paar Bier im Kopf und die Versuchung deinen Vorschlag in die Tat umzusetzen ist sehr groß . Wer soll der User pearsimmon sein ? Nein das bin ich nicht bin hier durch einen bluescreen und fatal error im Klarnamen angemeldet . Nocheinmal viele Dank für deine Mühe ist Mann so nicht gewohnt , aber die Linux Community ist einfach geil weiter so !
Benutzeravatar

gosia
Forum Held
Forum Held
Beiträge: 2232
Registriert: Dienstag 24. Mai 2016, 13:33
CPU: Intel i5-3210M
GPU: Intel HD 4000
Kernel: 4.19
Desktop-Variante: Openbox
GPU Treiber: i915
Hat sich bedankt: 20 Mal
Danksagung erhalten: 495 Mal

Re: OpenVPN Kill Switch

#7

Beitrag von gosia »

Hallo Ben,
bengraber hat geschrieben: ↑Donnerstag 4. Juli 2019, 20:29 Wer soll der User pearsimmon sein ?
Keine Ahnung ;D War eben ein Zufall, daß zwei Leute fast zur gleichen Zeit das gleiche Problem hatten.
bengraber hat geschrieben: ↑Donnerstag 4. Juli 2019, 20:29 ich Versuche jetzt erstmal die Materie zu verstehen damit ich auch nachvollziehen kann was ich da alles eingebe ins Terminal .
gute Idee. Sieh dir auf jeden Fall den Ubuntu-Link an, das ist schon mal eine gute Grundlage.

viele Grüße gosia

Robespierre
Neues Foren Mitglied
Neues Foren Mitglied
Beiträge: 3
Registriert: Sonntag 13. September 2020, 21:09
CPU: Intel
GPU: Intel
Kernel: 5.
Desktop-Variante: DE
GPU Treiber: Intel

Re: OpenVPN Kill Switch

#8

Beitrag von Robespierre »

Es gibt in Cinnamon auch noch das "VPN Look-Out Applet".

Damit ist es möglich:
- automatisch zu verbinden und
- bei Abbruch erneut zu verbinden
- zwischen verschiedenen VPN Verbindungen zu wechseln
- ein akustisches Alarmsignal bei Ausfall zu bekommen
- einzelne Anwendungen ohne VPN zu blockieren
- Activity Log zu aktivieren und anzeigen zu lassen.

Über die Einstellungen "VPN-related Apps Manager" kann man Managed Apps hinzufügen und einen Haken bei "VPN-only" setzen.
Damit bleibt die Anwendung offen, wird aber bei Ausfall blockiert. Dabei werden pro Sekunde 7-10 Zeilen im Log erzeugt: Blocked by vpnLookOut: firefox.

Es gibt auch eine "Shutdown" und eine "Restart" Option. Dabei werden die betreffenden Anwendung geschossen, oder erneut gestartet sobald wieder VPN Verbindung verfügbar ist.
Sowas ist eventuell für Torrent Nutzer interessant, dort ist auch das Programm "Transmission-gtk" standardmäßig hinterlegt. Ich habe es nicht getestet.

Soweit ich es beurteilen kann, scheint dieses Applet gut zu funktionieren. Ich bin kein professioneller VPN Tester.

Aber Vorsicht bem spielen am Kill Switch, wenn man es übertreibt wird eventuell ein Neustart nötig..
Antworten

Zurück zu „Manjaro Linux Installation und Programme“