Allgemeine Frage zum Traffic Routing bei VPN-Verbindungen

[DJMadMax]

Heyho liebe Forengemeinde,

ich sitze gerade im Homeoffice und verbinde mich unter anderem via OpenVPN mit zugehöriger Config-Datei und Passwortanmeldung mit einem Terminalserver unseres Dienstleisters.

Meine Frage ist nun: sobald der VPN auf meinem Rechner aktiv geschaltet ist, routet er dann JEDEN Traffic über die VPN-Verbindung, oder gezielt nur den Remote Desktop (klassisches RDP)?

Es würde mich interessieren, weil ich natürlich nebenher auch noch andere Dinge am PC laufen habe - aktuell z.B. im Hintergrund zur Berieselung eine Youtube-Playlist. Mir geht es dabei keinesfalls darum, dem Dienstleister etwas zu verheimlichen - der kann ruhig mitbekommen (kann/soll/darf er eh nicht auslesen), was ich mir hier nebenher zum ruhigeren Arbeiten reinziehe Die Frage bezieht sich aber eher auf unnötigen Traffic, da ich die Remoteverbindung keinesfalls unnötig belasten will. Wenn da im Hintergrund Videostreams laufen oder ich gar große Datenmengen runterlade - z.B. Steamupdates etc., dann wäre es natürlich schön, wenn dieser Traffic auch weiterhin am VPN vorbei geroutet würde.

Ich danke vielmals vorab für eure Hilfe

 

[cartridge_case]

oder gezielt nur den Remote Desktop (klassisches RDP)?

Woher soll der denn wissen, wofür er aktiviert wurde? Ich würde von alles ausgehen.

der kann ruhig mitbekommen (kann/soll/darf er eh nicht auslesen)

Das widerspricht sich.

 

[DJMadMax]

Woher soll der denn wissen, wofür er aktiviert wurde? Ich würde von alles ausgehen.

Ich weiß ja nicht, was in der OpenVPN-Configdatei alles drin steht. Es kann ja durchaus sein, dass nur der Traffic über das Remote Desktop-Protokoll geroutet wird und nicht der gesamte Traffic.

Das widerspricht sich.

Nicht wirklich. Mir persönlich wäre es egal - aber ein Mitschneiden/Beobachten des Traffics würde gegen eine ganze Reihe Gesetze verstoßen, deshalb habe ich geschrieben, dass der Dienstleister das nicht darf/soll. Können tut er es rein technisch vermutlich auch nicht - zumindest würde es mich überraschen, wenn unverschlüsselt in einer VPN-Verbindung die Seitenaufrufe abgreifbar sind.

 

[dasTTS]

Gehe einfach auf eine Webseite, die Dir Deine öffentliche IP Adresse anzeigt (z.B. https://www.whatismyip.com/). Das machst Du vor und einmal nach Deiner Verbindung zum VPN Anbieter. Bleibt sie gleich, dann ist Split Tunneling für externen Traffic aktiviert, verändert sie sich, dann wird jeglicher Traffic umgeleitet.

 

[DJMadMax]

@dasTTS
Danke, guter Tipp Meine Internetverbindung sollte aber weiterhin noch dieselbe physikalische IP-Adresse aufweisen, richtig? Sprich, die sollte ich dann auch aus der FritzBox auslesen können?

Falls ja: dann ist die IP unverändert: meine öffentliche IP ist aktuell mit aktiviertem VPN identisch zu der, die in der FritzBox als Internetverbindung angezeigt wird.

Dann ist wohl Split Tunneling aktiviert, vielen Dank für die schnelle Hilfe.

 

[dasTTS]

Die vom Provider zugewiesene IP Adresse bleibt in der Fritzbox immer die gleiche und ist unabhängig von der VPN Verbindung. Du müsstest schon über die Webseite gehen, oder du schaust Dir die Routen per netsh route print an.

 

[DJMadMax]

Du müsstest schon über die Webseite gehen

Wie gesagt, habe ich gemacht - und trotz aktiver VPN-Verbindung ist sie weiterhin identisch zur im Router aufgebauten IP-Adresse zum Provider. Von daher gehe ich von Split Tunneling aus.

 

[Hammelkopp]

Öffne bei verbundenen VPN ein CMD Fenster und setze ein "route print" ab. Zeigt deine Default Route dann auf den VPN Adapter hast du einen Full Tunnel. Zeigen bzw. zeigt nur ein oder mehrere Subnetze auf diesen, hast du einen Split Tunnel. Wenn du dir nicht sicher bist, mache einen Screenshot des Outputs und poste ihn hier mal.

 

[Donnidonis]

@Hammelkopp
Da warst du schneller. Genau das ist der Weg, wie es überprüft werden sollte.

 

[Raijin]

Wenn die dargestellte öffentliche IP auf wieistmeineip.de o.ä. gleich bleibt, dann ist davon auszugehen, dass nur das Firmennetzwerk über das VPN geroutet wird.

Man kann das verifizieren, in dem man sich die Routingtabelle anschaut.

route print

Wenn dort nach dem Verbindungsaufbau lediglich Routen zum Firmennetzwerk hinzukommen, die Standardroute aber unangetastet bleibt und auch nicht durch zwei Routen mit 128.0.0.0 Subnetzmaske überlagert wird, routet OpenVPN nur das Firmennetzwerk und sonst nix.

 

[nutrix]

Die Einstellungen, wie Netzwerk geroutet wird, wird von manchen absichtlich strikt vorgegeben. Daher würde ich erst mal vorher nachfragen, bevor man Änderungen vornimmt, die vielleicht sogar gegen Vorgaben der Firma widersprechen.

 

[Hammelkopp]

Man kann Clientseitig dort keine Änderungen vornehmen. Die Config wird dir vom VPN Server übergeholfen und die lässt sich nicht ändern.

 

[kieleich]

ändern kannst du alles nur keine garantie das es funktioniert

 

[Hammelkopp]

Probier es aus. Verbinde dich per VPN und auch als lokaler Admin bekommst du die Routing Tabelle (zumindest unter Windows) nicht so verbogen, dass du von Full auf Split Tunnel bzw. andersrum gehst. Wenn du einen Weg gefunden hast, kannste ihn mit gerne mitteilen.

 

[DJMadMax]

Die Einstellungen, wie Netzwerk geroutet wird, wird von manchen absichtlich strikt vorgegeben. Daher würde ich erst mal vorher nachfragen, bevor man Änderungen vornimmt, die vielleicht sogar gegen Vorgaben der Firma widersprechen.

Keine Bange, niemand hat das vor. Es wäre für mich nur interessant gewesen zu wissen, denn wenn es z.B. so gewesen wäre, dass tatsächlich der gesamte Traffic über den VPN läuft, dann hätte ich bewusst Spieleclients geschlossen, um mir einfach Ressourcen fürs Arbeiten freizuhalten oder auch Streams auf minimale Bildqualität (ich sehe sie nebenher eh nicht, ist nur akustische Berieselung) - ich arbeite nämlich nicht nur per RDP auf einer Serverinfrastruktur des Dienstleisters, sondern auch per Citrix-Direktverbindung in meinem angestellten Unternehmensnetzwerk.

Aber wie bereits schon erwähnt, der Test über whatismyip sowie CMD -> 'route print' hat hat hier Gewissheit verschafft: lediglich die RDP-Verbindung zur festen Ziel-IP wird über OpenVPN geroutet, der Rest läuft normal am VPN vorbei ins offene Internet.

Vielen Dank für all eure Mithilfe

 

[thrawnx]

Wie hier schon erwähnt wurde ist /route in der Console dein Freund. Darin kannst du auch permanente Routen festlegen, sprich dass die Verbindung zur festen IP deines Dienstleisters über die virtuelle NIC des VPN läuft und alles andere über deine normale Verbindung. Falls du die IP des VPN Servers nicht kennst, hilft dir netstat weiter.

Erster Hit in Google: Click

 

[_anonymous0815_]

Standardmäßig wird weder in OpenVPN, noch in Wireguard der gesamte Traffic geroutet, die Option gibt es, z.B. um ein Site-to-Site VPN aufzubauen. An sich stellt dies aber meiner Meinung nach ein erhebliches Sicherheitsrisiko dar, da man sich im Firmenumfeld bei 100 Homeofficearbeitern vermutlich locker 300 - 700 Geräte ins Netz holt, die je nach Config auch alle untereinander erreichbar sein können.

 

[Hammelkopp]

Von einem Standard würde ich erstmal nicht ausgehen / reden. Kannst dich auch zu ner Sophos mit nem OpenVPN Client verbinden. In der Sophie Config gibt's es keine Default Einstellung.
Weiterhin gibt es auch Möglichkeiten Traffic zwischen Clients zu unterbinden. Darüberhinaus würde ich den Zugriff in den Config Ordner des Clients unterbinden sodass man sich nur mit einem verwalteten Firmen PC überhaupt verbinden kann. Allerhöchsten kann man sich mit seinem eigenen PC verbinden und kommt dann nur via Jumphost oder Terminalserver o.ä. weiter wenn es denn unbedingt sein muss.

 

[Raijin]

auch als lokaler Admin bekommst du die Routing Tabelle (zumindest unter Windows) nicht so verbogen, dass du von Full auf Split Tunnel bzw. andersrum gehst.

Doch, natürlich geht das. Man muss nur das Konzept der Routingtabelle verstanden haben und dann kann man sie auch nach Belieben anpassen. Bei einem FirmenVPN ist das in keinster Weise zu empfehlen und sollte ausschließlich über die IT geregelt werden, aber technisch möglich ist es in jedem Fall.

Man muss sich beispielsweise anschauen wie die Option redirect-gateway def1 funktioniert, also was sie bewirkt und wie sie wirkt. Das ist der klassische Override des lokalen Gateways mit zwei spezifischeren Routen mit /1 Subnetzmaske (daher das def1 in der Option), die die einzelne /0 Route des Standardgateways überlagern.

Es gelten schlicht und ergreifend folgende Regeln:


1)
Oberste Priorität hat die passendste Route mit der spezifischsten Subnetzmaske. Dabei gilt: /0 ist unspezifisch und zB /24 ist spezifischer.

2)
Gibt es zwei gleichspezifische Routen bis auf Gateway und Metrik zählt die niedrigere Metrik


Befolgt man diese Regeln, kann man die Routingtabelle nach Belieben einstellen. Ob man es tun sollte, steht auf einem anderen Blatt. Wie schon gesagt ist das bei FirmenVPNs Aufgabe der IT und wenn man selbst Hand anlegt, kann man auch Fehler einbauen, was bei der IT übel aufstoßen wird - insbesondere wenn es sich um ein Endgerät der Firma handelt, da die IT dann auch die Hoheit über das gesamte Gerät hat.

 

[Ranayna]

An sich stellt dies aber meiner Meinung nach ein erhebliches Sicherheitsrisiko dar, da man sich im Firmenumfeld bei 100 Homeofficearbeitern vermutlich locker 300 - 700 Geräte ins Netz holt, die je nach Config auch alle untereinander erreichbar sein können.

Ja gut, man laesst bei Full Tunnel natuerlich nicht jedes dahergelaufene Geraet rein.
Das macht man nur fuer fullmanaged Geraete die auch der Firma gehoeren und von denen gemanaged werden.
Und das VPN Netz gehoert natuerlich, wie aber eigendlich jedes Netz in dem sich Clients tummeln vernuenftig segregiert.