OpenVPN Kill Switch

Hilfe bei der Installation von Manjaro Linux!
Antworten

Themen Author
bengraber
Neues Foren Mitglied
Neues Foren Mitglied
Beiträge: 3
Registriert: Mittwoch 3. Juli 2019, 18:14
CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
Kernel: 5.1.15-1-MANJARO
DE: was ist das
GPU Treiber: 430.26

OpenVPN Kill Switch

#1

#1 Beitrag von bengraber » Mittwoch 3. Juli 2019, 18:25

Moin da ich gerade denn Wechsel von Windows 10 hinter mir habe und jetzt gerne meine VPN (PP) Verbindung realisieren möchte bräuchte ich ein paar Tipps wie ich einen Killswitch hinbekomme mit IPFire . Ich verliere ab und an die Verbindung zum meinem VPN Anbieter , sehe ich das richtig das es möglich ist den gesamten Traffic über das VPN zu leiten mit IPFire und eine ständige VPN Verbindung aufrecht zu erhalten ?. Habe schon gegoogelt aber nur wenig bis gar nichts gefunden zu diesem Thema und wenn in Englisch dies zählt nicht zu meinen Stärken. Wäre über Tipps sehr dankbar.

Gruß Ben

Benutzeravatar

gosia
Forum Held
Forum Held
Beiträge: 810
Registriert: Dienstag 24. Mai 2016, 13:33
CPU: Intel i5-3210M
GPU: Intel HD 4000
Kernel: 4.15
DE: Openbox
GPU Treiber: i915
Hat sich bedankt: 6 Mal
Danksagung erhalten: 89 Mal

Re: OpenVPN Kill Switch

#2

#2 Beitrag von gosia » Mittwoch 3. Juli 2019, 19:15

Hallo bengraber,
Eine halbwegs vernünftige Lösung kannst Du über eine Firewall einrichten. Ich übertrage mal sinngemäß diesen Artikel https://security.stackexchange.com/ques ... h-on-linux ins deutsche.

1. Wenn noch nicht vorhanden dann einrichten einer Systemgruppe openvpn mit

Code: Alles auswählen

groupadd -r openvpn
2. zur OpenVPN-Konfigurationsdatei diese Zeile hinzufügen

Code: Alles auswählen

group openvpn
3. Firewall (iptables) einrichten:

Code: Alles auswählen

# alle Regeln zurücksetzen. Das kann zum Abbruch der normalen Internet-Verbindung führen
iptables -F

# Der VPN client soll mit der Aussenwelt kommunizieren
iptables -A OUTPUT -j ACCEPT -m owner --gid-owner openvpn

# Loopback ist harmlos und TUN wird für's VPN gebraucht -> zulassen
iptables -A OUTPUT -j ACCEPT -o lo
iptables -A OUTPUT -j ACCEPT -o tun+

# Antworten sollten auch zugelassen werden
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED

# der restliche Traffic wird abgelehnt
iptables -P OUTPUT DROP
iptables -P INPUT DROP
4. Schlussbemerkung
wenn das funktioniert (ich habe es nicht praktisch getestet, aber es sieht IMHO gut aus), sollte der Verkehr nur noch über VPN möglich sein, oder andersrum, wenn kein VPN dann auch kein Internet.
Kann sein, daß an den Regeln noch gefeilt werden muss, z.B. um Kommunikation mit Geräten im eigenen Netzwerk zu ermöglichen, aber als Grundlösung sollte dies genügen.
Ob dies aber die Mühe lohnt ist etwas zweifelhaft, weil es dir eine Sicherheit und Anonymität vorgaukeln könnte, die so nicht existiert.

viele Grüße gosia


Themen Author
bengraber
Neues Foren Mitglied
Neues Foren Mitglied
Beiträge: 3
Registriert: Mittwoch 3. Juli 2019, 18:14
CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
Kernel: 5.1.15-1-MANJARO
DE: was ist das
GPU Treiber: 430.26

Re: OpenVPN Kill Switch

#3

#3 Beitrag von bengraber » Donnerstag 4. Juli 2019, 03:41

Vielen Dank für die Mühe und deine schnelle Antwort gosia !!!. Wenn ich zwei Profile Haben möchte ist das mit der gufw möglich ?.ich Stelle mir es so vor:

Profil 1 ohne VPN
Profil 2 mit VPN

Wenn dies nicht möglich ist wie kann ich das wieder rückgängig Machen also wieder zurück zu den normalen Einstellungen ohne VPN? . Ich habe mehrere Geräte im meinem Netzwerk NAS Server und die üblichen Geräte wie TV , mehrere PCs und einen Raspberry Pi ( Pi Hole ) auf die ich auch Zugriff haben muss auch mit SSH , muss ich dann einfach Ports freigeben geben in denn Firewall Regeln ?

Benutzeravatar

gosia
Forum Held
Forum Held
Beiträge: 810
Registriert: Dienstag 24. Mai 2016, 13:33
CPU: Intel i5-3210M
GPU: Intel HD 4000
Kernel: 4.15
DE: Openbox
GPU Treiber: i915
Hat sich bedankt: 6 Mal
Danksagung erhalten: 89 Mal

Re: OpenVPN Kill Switch

#4

#4 Beitrag von gosia » Donnerstag 4. Juli 2019, 12:04

Hallo bengraber,
bengraber hat geschrieben:
Donnerstag 4. Juli 2019, 03:41
Wenn ich zwei Profile Haben möchte ist das mit der gufw möglich ?
Ja, aber es ist immer nur ein Profil aktiv. Müsstest Du also umschalten zwischen Profil1 und Profil2. Lässt sich vielleicht auch mit einem Skript automatisieren, so in der Art

Code: Alles auswählen

if vpn erreichbar then
  profil2
else
  profil1
fi
ist jetzt aber bloß so eine unklare Idee. Das "erreichbar" testen igendwie mit ping prüfen...
bengraber hat geschrieben:
Donnerstag 4. Juli 2019, 03:41
muss ich dann einfach Ports freigeben geben in denn Firewall Regeln ?
Im Prinzip ja. Aber wenn Du ufw benutzt gibt es schon vordefinierte Einstellungen, die Du benutzen kannst. Gib mal

Code: Alles auswählen

sudo ufw app list
ein, da siehst Du die. Die können dann mit "allow" zugelassen werden. Z.B.

Code: Alles auswählen

ufw allow ssh
erlaubt ssh. Das wäre aber noch sehr grob, Du kannst das auch auf bestimmte Adressen begrenzen

Code: Alles auswählen

sudo ufw allow from 192.168.178.0/24 to any port 22
Das lässt sich beliebig ausbauen, ist aber so komplex, daß sich ganze Bücher darübe scheiben lassen. Google mal nach "ufw", da gibt es massig Anleitungen zu, auch deutschsprachige, z.B.
https://wiki.ubuntuusers.de/ufw/
die Distri sollte da keine Rolle spielen, weil ufw auf allen gleich funktioniert.

viele Grüße gosia

Benutzeravatar

gosia
Forum Held
Forum Held
Beiträge: 810
Registriert: Dienstag 24. Mai 2016, 13:33
CPU: Intel i5-3210M
GPU: Intel HD 4000
Kernel: 4.15
DE: Openbox
GPU Treiber: i915
Hat sich bedankt: 6 Mal
Danksagung erhalten: 89 Mal

Re: OpenVPN Kill Switch

#5

#5 Beitrag von gosia » Donnerstag 4. Juli 2019, 18:48

Hallo Ben,
Du bist nicht zufällig auch pearsimmon?
https://mxlinux.org/forum/viewtopic.php ... 77#p513183

wenn nicht, kannst Du ja trotzdem versuchen, dort mitzulesen.

viele Grüße gosia


Themen Author
bengraber
Neues Foren Mitglied
Neues Foren Mitglied
Beiträge: 3
Registriert: Mittwoch 3. Juli 2019, 18:14
CPU: AMD Ryzen 7 2700X Eight-Core Processor × 8
GPU: NVIDIA Corporation GM204 [GeForce GTX 970]
Kernel: 5.1.15-1-MANJARO
DE: was ist das
GPU Treiber: 430.26

Re: OpenVPN Kill Switch

#6

#6 Beitrag von bengraber » Donnerstag 4. Juli 2019, 20:29

Habe mir denn Link Mal angeschaut , ich Versuche jetzt erstmal die Materie zu verstehen damit ich auch nachvollziehen kann was ich da alles eingebe ins Terminal . Habe gerade ein paar Bier im Kopf und die Versuchung deinen Vorschlag in die Tat umzusetzen ist sehr groß . Wer soll der User pearsimmon sein ? Nein das bin ich nicht bin hier durch einen bluescreen und fatal error im Klarnamen angemeldet . Nocheinmal viele Dank für deine Mühe ist Mann so nicht gewohnt , aber die Linux Community ist einfach geil weiter so !

Benutzeravatar

gosia
Forum Held
Forum Held
Beiträge: 810
Registriert: Dienstag 24. Mai 2016, 13:33
CPU: Intel i5-3210M
GPU: Intel HD 4000
Kernel: 4.15
DE: Openbox
GPU Treiber: i915
Hat sich bedankt: 6 Mal
Danksagung erhalten: 89 Mal

Re: OpenVPN Kill Switch

#7

#7 Beitrag von gosia » Donnerstag 4. Juli 2019, 22:41

Hallo Ben,
bengraber hat geschrieben:
Donnerstag 4. Juli 2019, 20:29
Wer soll der User pearsimmon sein ?
Keine Ahnung ;D War eben ein Zufall, daß zwei Leute fast zur gleichen Zeit das gleiche Problem hatten.
bengraber hat geschrieben:
Donnerstag 4. Juli 2019, 20:29
ich Versuche jetzt erstmal die Materie zu verstehen damit ich auch nachvollziehen kann was ich da alles eingebe ins Terminal .
gute Idee. Sieh dir auf jeden Fall den Ubuntu-Link an, das ist schon mal eine gute Grundlage.

viele Grüße gosia

Antworten