NordVPN jedoch mit eigenem DNS (über OpenVPN)

[anarki99]

Hi,
da ich im Netz nicht fündig wurde, wende ich mich an euch:
Ich möchte meine Androiden über OpenVPN für Android ins Netz bringen. Das gelingt auch ganz gut. Jedoch schaffe ich es nicht die DNS Server von NordVPN? vollständig zu unterbinden. Das Verbindungsprotokoll (und auch die trotz PiHole noch immer aufpoppende Werbung) zeigen, dass weiterhin 2 fremde DNS Server aktiv sind: 103.86.96.100 und 103.86.99.100.
Dies obwohl in der Config Datei von OpenVPN eindeutig dhcp-option DNS 192.168.0.108 (=Pihole) gesetzt wird.

Hat jemand Tipps, oder das Problem schon mal gelöst.
Bin für jeden Hinweis dankbar,

LG Anarki

 

[Raijin]

Ohne mich mit NordVPN und deren Einstellungen konkret auszukennen, kann es sein, dass der OpenVPN-Server den DNS pusht. Schau mal ins Verbindungslog rein, evtl. musst du den verb level in der client.conf höher setzen. Dort müsste dann auch stehen, dass eine Push-Anweisung empfangen wurde.

Wenn du am Smartphone Schwierigkeiten hast, die Logs, etc. zu finden, kannst du zur Not auch erstmal auf einem PC testen und dort nachschauen. Da könnte man auch auf einen Blick die IP-Einstellungen aller Netzwerkadapter sehen, inkl. VPN.

 

[anarki99]

verb level ist 4 - die benötigten Infos werden damit angezeigt

Hier die Konfiguration:

# Config for OpenVPN 2.x
# Enables connection to GUI
management /data/user/0/de.blinkt.openvpn/cache/mgmtsocket unix
management-client
management-query-passwords
management-hold

setenv IV_GUI_VER "de.blinkt.openvpn 0.7.5"
setenv IV_PLAT_VER "24 7.0 armeabi-v7a samsung universal5433 SM-T810"
machine-readable-output
allow-recursive-routing
ifconfig-nowarn
client
verb 4
connect-retry 2 300
resolv-retry 60
dev tun
remote 185.216.34.101 1194 udp
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
</ca>
comp-lzo
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1
dhcp-option DNS 192.168.0.108
dhcp-option DNS 192.168.0.108
mssfix
nobind
remote-cert-tls server
cipher AES-256-CBC
auth SHA512
persist-tun
# persist-tun also enables pre resolving to avoid DNS resolve problem
preresolve
# Use system proxy setting
management-query-proxy
# Custom configuration options
# You are on your on own here :)
# These options found in the config file do not map to config settings:
ping 15
fast-io
ping-restart 0
reneg-sec 0
tun-mtu 1500
resolv-retry infinite
tun-mtu-extra 32
ping-timer-rem

Und hier der Log:

2019-01-02 12:07:11 offizielle Version 0.7.5 läuft auf samsung SM-T810 (universal5433), Android 7.0 (NRD90M) API 24, ABI armeabi-v7a, (samsung/gts210wifixx/gts210wifi:7.0/NRD90M/T810XXU2DRH1:user/release-keys)
2019-01-02 12:07:11 Generiere OpenVPN-Konfiguration…
2019-01-02 12:07:12 New OpenVPN Status (VPN_GENERATE_CONFIG->LEVEL_START):
2019-01-02 12:07:11 New OpenVPN Status (VPN_GENERATE_CONFIG->LEVEL_START):
2019-01-02 12:07:12 MANAGEMENT: CMD 'signal SIGINT'
2019-01-02 12:07:12 SIGTERM received, sending exit notification to peer
2019-01-02 12:07:12 MANAGEMENT: TCP send error: Broken pipe
2019-01-02 12:07:12 MANAGEMENT: Client disconnected
2019-01-02 12:07:12 MANAGEMENT: Triggering management exit
2019-01-02 12:07:12 TCP/UDP: Closing socket
2019-01-02 12:07:12 Sorry, deleting routes on Android is not possible. The VpnService API allows routes to be set on connect only.
2019-01-02 12:07:12 Sorry, deleting routes on Android is not possible. The VpnService API allows routes to be set on connect only.
2019-01-02 12:07:12 Closing TUN/TAP interface
2019-01-02 12:07:12 SIGTERM[soft,management-exit] received, process exiting
2019-01-02 12:07:12 MANAGEMENT: >STATE:1546427232,EXITING,management-exit,,,,,
2019-01-02 12:07:12 Debug state info: CONNECTED to WIFI "UPCFD7B48D", pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-01-02 12:07:14 started Socket Thread
2019-01-02 12:07:14 Netzwerkstatus: CONNECTED to WIFI "UPCFD7B48D"
2019-01-02 12:07:14 Debug state info: CONNECTED to WIFI "UPCFD7B48D", pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-01-02 12:07:14 Debug state info: CONNECTED to WIFI "UPCFD7B48D", pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-01-02 12:07:14 Current Parameter Settings:
2019-01-02 12:07:14 config = '/data/user/0/de.blinkt.openvpn/cache/android.conf';
2019-01-02 12:07:14 mode = 0
2019-01-02 12:07:14 show_ciphers = DISABLED
2019-01-02 12:07:14 show_digests = DISABLED
2019-01-02 12:07:14 show_engines = DISABLED
2019-01-02 12:07:14 genkey = DISABLED
2019-01-02 12:07:14 key_pass_file = '[UNDEF]'
2019-01-02 12:07:14 show_tls_ciphers = DISABLED
2019-01-02 12:07:14 connect_retry_max = 0
2019-01-02 12:07:14 Connection profiles [0]:
2019-01-02 12:07:14 proto = udp
2019-01-02 12:07:14 local = '[UNDEF]'
2019-01-02 12:07:14 local_port = '[UNDEF]'
2019-01-02 12:07:14 remote = '185.216.34.101'
2019-01-02 12:07:14 remote_port = '1194'
2019-01-02 12:07:14 remote_float = DISABLED
2019-01-02 12:07:14 bind_defined = DISABLED
2019-01-02 12:07:14 bind_local = DISABLED
2019-01-02 12:07:14 bind_ipv6_only = DISABLED
2019-01-02 12:07:14 connect_retry_seconds = 2
2019-01-02 12:07:14 connect_timeout = 120
2019-01-02 12:07:14 socks_proxy_server = '[UNDEF]'
2019-01-02 12:07:14 socks_proxy_port = '[UNDEF]'
2019-01-02 12:07:14 tun_mtu = 1500
2019-01-02 12:07:14 tun_mtu_defined = ENABLED
2019-01-02 12:07:14 link_mtu = 1500
2019-01-02 12:07:14 link_mtu_defined = DISABLED
2019-01-02 12:07:14 tun_mtu_extra = 32
2019-01-02 12:07:14 tun_mtu_extra_defined = ENABLED
2019-01-02 12:07:14 mtu_discover_type = -1
2019-01-02 12:07:14 fragment = 0
2019-01-02 12:07:14 mssfix = 1450
2019-01-02 12:07:14 explicit_exit_notification = 0
2019-01-02 12:07:14 Connection profiles END
2019-01-02 12:07:14 remote_random = DISABLED
2019-01-02 12:07:14 ipchange = '[UNDEF]'
2019-01-02 12:07:14 dev = 'tun'
2019-01-02 12:07:14 dev_type = '[UNDEF]'
2019-01-02 12:07:14 dev_node = '[UNDEF]'
2019-01-02 12:07:14 lladdr = '[UNDEF]'
2019-01-02 12:07:14 topology = 1
2019-01-02 12:07:14 ifconfig_local = '[UNDEF]'
2019-01-02 12:07:14 ifconfig_remote_netmask = '[UNDEF]'
2019-01-02 12:07:14 Warte 0s Sekunden zwischen zwei Verbindungsversuchen
2019-01-02 12:07:14 ifconfig_noexec = DISABLED
2019-01-02 12:07:14 ifconfig_nowarn = ENABLED
2019-01-02 12:07:14 ifconfig_ipv6_local = '[UNDEF]'
2019-01-02 12:07:14 ifconfig_ipv6_netbits = 0
2019-01-02 12:07:14 ifconfig_ipv6_remote = '[UNDEF]'
2019-01-02 12:07:14 shaper = 0
2019-01-02 12:07:14 mtu_test = 0
2019-01-02 12:07:14 mlock = DISABLED
2019-01-02 12:07:14 keepalive_ping = 0
2019-01-02 12:07:14 keepalive_timeout = 0
2019-01-02 12:07:14 inactivity_timeout = 0
2019-01-02 12:07:14 ping_send_timeout = 15
2019-01-02 12:07:14 ping_rec_timeout = 0
2019-01-02 12:07:14 ping_rec_timeout_action = 2
2019-01-02 12:07:14 ping_timer_remote = ENABLED
2019-01-02 12:07:14 remap_sigusr1 = 0
2019-01-02 12:07:14 persist_tun = ENABLED
2019-01-02 12:07:14 persist_local_ip = DISABLED
2019-01-02 12:07:14 persist_remote_ip = DISABLED
2019-01-02 12:07:14 persist_key = DISABLED
2019-01-02 12:07:14 passtos = DISABLED
2019-01-02 12:07:14 resolve_retry_seconds = 1000000000
2019-01-02 12:07:14 resolve_in_advance = ENABLED
2019-01-02 12:07:14 username = '[UNDEF]'
2019-01-02 12:07:14 groupname = '[UNDEF]'
2019-01-02 12:07:14 chroot_dir = '[UNDEF]'
2019-01-02 12:07:14 cd_dir = '[UNDEF]'
2019-01-02 12:07:14 writepid = '[UNDEF]'
2019-01-02 12:07:14 up_script = '[UNDEF]'
2019-01-02 12:07:14 down_script = '[UNDEF]'
2019-01-02 12:07:14 down_pre = DISABLED
2019-01-02 12:07:14 up_restart = DISABLED
2019-01-02 12:07:14 up_delay = DISABLED
2019-01-02 12:07:14 daemon = DISABLED
2019-01-02 12:07:14 inetd = 0
2019-01-02 12:07:14 log = DISABLED
2019-01-02 12:07:14 suppress_timestamps = DISABLED
2019-01-02 12:07:14 machine_readable_output = ENABLED
2019-01-02 12:07:14 nice = 0
2019-01-02 12:07:14 verbosity = 4
2019-01-02 12:07:14 mute = 0
2019-01-02 12:07:14 gremlin = 0
2019-01-02 12:07:14 status_file = '[UNDEF]'
2019-01-02 12:07:14 status_file_version = 1
2019-01-02 12:07:14 status_file_update_freq = 60
2019-01-02 12:07:14 occ = ENABLED
2019-01-02 12:07:14 rcvbuf = 0
2019-01-02 12:07:14 sndbuf = 0
2019-01-02 12:07:14 sockflags = 0
2019-01-02 12:07:14 fast_io = ENABLED
2019-01-02 12:07:14 comp.alg = 2
2019-01-02 12:07:14 comp.flags = 1
2019-01-02 12:07:14 route_script = '[UNDEF]'
2019-01-02 12:07:14 route_default_gateway = '[UNDEF]'
2019-01-02 12:07:14 route_default_metric = 0
2019-01-02 12:07:14 route_noexec = DISABLED
2019-01-02 12:07:14 route_delay = 0
2019-01-02 12:07:14 route_delay_window = 30
2019-01-02 12:07:14 route_delay_defined = DISABLED
2019-01-02 12:07:14 route_nopull = DISABLED
2019-01-02 12:07:14 route_gateway_via_dhcp = DISABLED
2019-01-02 12:07:14 allow_pull_fqdn = DISABLED
2019-01-02 12:07:14 management_addr = '/data/user/0/de.blinkt.openvpn/cache/mgmtsocket';
2019-01-02 12:07:14 management_port = 'unix'
2019-01-02 12:07:14 management_user_pass = '[UNDEF]'
2019-01-02 12:07:14 management_log_history_cache = 250
2019-01-02 12:07:14 management_echo_buffer_size = 100
2019-01-02 12:07:14 management_write_peer_info_file = '[UNDEF]'
2019-01-02 12:07:14 management_client_user = '[UNDEF]'
2019-01-02 12:07:14 management_client_group = '[UNDEF]'
2019-01-02 12:07:14 management_flags = 4390
2019-01-02 12:07:14 shared_secret_file = '[UNDEF]'
2019-01-02 12:07:14 key_direction = 1
2019-01-02 12:07:14 ciphername = 'AES-256-CBC'
2019-01-02 12:07:14 ncp_enabled = ENABLED
2019-01-02 12:07:14 ncp_ciphers = 'AES-256-GCM:AES-128-GCM'
2019-01-02 12:07:14 authname = 'SHA512'
2019-01-02 12:07:14 prng_hash = 'SHA1'
2019-01-02 12:07:14 prng_nonce_secret_len = 16
2019-01-02 12:07:14 keysize = 0
2019-01-02 12:07:14 engine = DISABLED
2019-01-02 12:07:14 replay = ENABLED
2019-01-02 12:07:14 mute_replay_warnings = DISABLED
2019-01-02 12:07:14 replay_window = 64
2019-01-02 12:07:14 replay_time = 15
2019-01-02 12:07:14 packet_id_file = '[UNDEF]'
2019-01-02 12:07:14 test_crypto = DISABLED
2019-01-02 12:07:14 tls_server = DISABLED
2019-01-02 12:07:14 tls_client = ENABLED
2019-01-02 12:07:14 key_method = 2
2019-01-02 12:07:14 ca_file = '[[INLINE]]'
2019-01-02 12:07:14 ca_path = '[UNDEF]'
2019-01-02 12:07:14 dh_file = '[UNDEF]'
2019-01-02 12:07:14 cert_file = '[UNDEF]'
2019-01-02 12:07:14 extra_certs_file = '[UNDEF]'
2019-01-02 12:07:14 priv_key_file = '[UNDEF]'
2019-01-02 12:07:14 pkcs12_file = '[UNDEF]'
2019-01-02 12:07:14 cipher_list = '[UNDEF]'
2019-01-02 12:07:14 tls_cert_profile = '[UNDEF]'
2019-01-02 12:07:14 tls_verify = '[UNDEF]'
2019-01-02 12:07:14 tls_export_cert = '[UNDEF]'
2019-01-02 12:07:14 verify_x509_type = 0
2019-01-02 12:07:14 verify_x509_name = '[UNDEF]'
2019-01-02 12:07:14 crl_file = '[UNDEF]'
2019-01-02 12:07:14 ns_cert_type = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 65535
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_ku[i] = 0
2019-01-02 12:07:14 remote_cert_eku = 'TLS Web Server Authentication'
2019-01-02 12:07:14 ssl_flags = 0
2019-01-02 12:07:14 tls_timeout = 2
2019-01-02 12:07:14 renegotiate_bytes = -1
2019-01-02 12:07:14 renegotiate_packets = 0
2019-01-02 12:07:14 renegotiate_seconds = 0
2019-01-02 12:07:14 handshake_window = 60
2019-01-02 12:07:14 transition_window = 3600
2019-01-02 12:07:14 single_session = DISABLED
2019-01-02 12:07:14 push_peer_info = DISABLED
2019-01-02 12:07:14 tls_exit = DISABLED
2019-01-02 12:07:14 tls_auth_file = '[[INLINE]]'
2019-01-02 12:07:14 tls_crypt_file = '[UNDEF]'
2019-01-02 12:07:14 client = ENABLED
2019-01-02 12:07:14 pull = ENABLED
2019-01-02 12:07:14 auth_user_pass_file = 'stdin'
2019-01-02 12:07:14 OpenVPN 2.5-icsopenvpn [git:v2.4_rc2-301-g14adf04a] armeabi-v7a [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on May 3 2018
2019-01-02 12:07:14 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
2019-01-02 12:07:14 MANAGEMENT: Connected to management server at /data/user/0/de.blinkt.openvpn/cache/mgmtsocket
2019-01-02 12:07:14 MANAGEMENT: CMD 'version 2'
2019-01-02 12:07:14 MANAGEMENT: CMD 'hold release'
2019-01-02 12:07:14 MANAGEMENT: CMD 'username 'Auth' tomsz@gmx.net'
2019-01-02 12:07:14 MANAGEMENT: CMD 'bytecount 2'
2019-01-02 12:07:14 MANAGEMENT: CMD 'password [...]'
2019-01-02 12:07:14 MANAGEMENT: CMD 'proxy NONE'
2019-01-02 12:07:14 MANAGEMENT: CMD 'state on'
2019-01-02 12:07:15 WARNING: --ping should normally be used with --ping-restart or --ping-exit
2019-01-02 12:07:15 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2019-01-02 12:07:15 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2019-01-02 12:07:15 LZO compression initializing
2019-01-02 12:07:15 Control Channel MTU parms [ L:1654 D:1140 EF:110 EB:0 ET:0 EL:3 ]
2019-01-02 12:07:15 Data Channel MTU parms [ L:1654 D:1450 EF:122 EB:411 ET:32 EL:3 ]
2019-01-02 12:07:15 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1634,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
2019-01-02 12:07:15 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1634,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
2019-01-02 12:07:15 TCP/UDP: Preserving recently used remote address: [AF_INET]185.216.34.101:1194
2019-01-02 12:07:15 Socket Buffers: R=[163840->163840] S=[163840->163840]
2019-01-02 12:07:15 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2019-01-02 12:07:15 UDP link local: (not bound)
2019-01-02 12:07:15 UDP link remote: [AF_INET]185.216.34.101:1194
2019-01-02 12:07:15 MANAGEMENT: >STATE:1546427235,WAIT,,,,,,
2019-01-02 12:07:15 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2019-01-02 12:07:15 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2019-01-02 12:07:15 New OpenVPN Status (AUTH->LEVEL_CONNECTING_SERVER_REPLIED): ,,,,,
2019-01-02 12:07:15 New OpenVPN Status (AUTH->LEVEL_CONNECTING_SERVER_REPLIED): ,,,,,
2019-01-02 12:07:15 MANAGEMENT: >STATE:1546427235,AUTH,,,,,,
2019-01-02 12:07:15 TLS: Initial packet from [AF_INET]185.216.34.101:1194, sid=92a06380 87b8d516
2019-01-02 12:07:15 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2019-01-02 12:07:15 VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
2019-01-02 12:07:15 VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA3
2019-01-02 12:07:15 VERIFY KU OK
2019-01-02 12:07:15 Validating certificate extended key usage
2019-01-02 12:07:15 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2019-01-02 12:07:15 VERIFY EKU OK
2019-01-02 12:07:15 VERIFY OK: depth=0, CN=at40.nordvpn.com
2019-01-02 12:07:15 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
2019-01-02 12:07:15 [at40.nordvpn.com] Peer Connection Initiated with [AF_INET]185.216.34.101:1194
2019-01-02 12:07:16 MANAGEMENT: >STATE:1546427236,GET_CONFIG,,,,,,
2019-01-02 12:07:16 New OpenVPN Status (GET_CONFIG->LEVEL_CONNECTING_SERVER_REPLIED): ,,,,,
2019-01-02 12:07:16 New OpenVPN Status (GET_CONFIG->LEVEL_CONNECTING_SERVER_REPLIED): ,,,,,
2019-01-02 12:07:16 SENT CONTROL [at40.nordvpn.com]: 'PUSH_REQUEST' (status=1)
2019-01-02 12:07:16 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 103.86.96.100,dhcp-option DNS 103.86.99.100,sndbuf 524288,rcvbuf 524288,explicit-exit-notify,comp-lzo no,route-gateway 10.8.8.1,topology subnet,ping 60,ping-restart 180,ifconfig 10.8.8.13 255.255.255.0,peer-id 7,cipher AES-256-GCM'
2019-01-02 12:07:16 OPTIONS IMPORT: timers and/or timeouts modified
2019-01-02 12:07:16 OPTIONS IMPORT: explicit notify parm(s) modified
2019-01-02 12:07:16 OPTIONS IMPORT: compression parms modified
2019-01-02 12:07:16 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
2019-01-02 12:07:16 Socket Buffers: R=[163840->1048576] S=[163840->1048576]
2019-01-02 12:07:16 OPTIONS IMPORT: --ifconfig/up options modified
2019-01-02 12:07:16 OPTIONS IMPORT: route options modified
2019-01-02 12:07:16 OPTIONS IMPORT: route-related options modified
2019-01-02 12:07:16 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2019-01-02 12:07:16 OPTIONS IMPORT: peer-id set
2019-01-02 12:07:16 OPTIONS IMPORT: adjusting link_mtu to 1657
2019-01-02 12:07:16 OPTIONS IMPORT: data channel crypto options modified
2019-01-02 12:07:16 Data Channel: using negotiated cipher 'AES-256-GCM'
2019-01-02 12:07:16 Data Channel MTU parms [ L:1585 D:1450 EF:53 EB:411 ET:32 EL:3 ]
2019-01-02 12:07:16 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2019-01-02 12:07:16 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2019-01-02 12:07:16 GDG: SIOCGIFHWADDR(lo) failed
2019-01-02 12:07:16 ROUTE_GATEWAY 127.100.103.119/255.0.0.0 IFACE=lo
2019-01-02 12:07:16 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
2019-01-02 12:07:16 New OpenVPN Status (ASSIGN_IP->LEVEL_CONNECTING_SERVER_REPLIED): ,10.8.8.13,,,,
2019-01-02 12:07:16 New OpenVPN Status (ASSIGN_IP->LEVEL_CONNECTING_SERVER_REPLIED): ,10.8.8.13,,,,
2019-01-02 12:07:16 MANAGEMENT: >STATE:1546427236,ASSIGN_IP,,10.8.8.13,,,,
2019-01-02 12:07:16 MANAGEMENT: CMD 'needok 'IFCONFIG' ok'
2019-01-02 12:07:16 MANAGEMENT: CMD 'needok 'ROUTE' ok'
2019-01-02 12:07:16 MANAGEMENT: CMD 'needok 'DNSSERVER' ok'
2019-01-02 12:07:16 MANAGEMENT: CMD 'needok 'DNSSERVER' ok'
2019-01-02 12:07:16 MANAGEMENT: CMD 'needok 'DNSSERVER' ok'
2019-01-02 12:07:16 MANAGEMENT: CMD 'needok 'DNSSERVER' ok'
2019-01-02 12:07:16 MANAGEMENT: CMD 'needok 'PERSIST_TUN_ACTION' OPEN_BEFORE_CLOSE'
2019-01-02 12:07:16 Tun-Netzwerkinterface wird geöffnet:
2019-01-02 12:07:16 Warning Samsung Android 5.0+ devices ignore DNS servers outside the VPN range. To enable DNS resolution a route to your DNS Server (192.168.0.108) has been added.
2019-01-02 12:07:16 Ignoriere Multicast-Route: 224.0.0.0/3
2019-01-02 12:07:16 Lokale IPv4: 10.8.8.13/24 IPv6: null MTU: 1500
2019-01-02 12:07:16 DNS-Server: 192.168.0.108, 192.168.0.108, 103.86.96.100, 103.86.99.100, Domäne: null
2019-01-02 12:07:16 Routen: 0.0.0.0/0, 10.8.8.0/24
2019-01-02 12:07:16 Ausgeschlossene Routen: 192.168.0.206/24
2019-01-02 12:07:16 Installierte VpnService-Routen: 0.0.0.0/1, 128.0.0.0/2, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.168.1.0/24, 192.168.2.0/23, 192.168.4.0/22, 192.168.8.0/21, 192.168.16.0/20, 192.168.32.0/19, 192.168.64.0/18, 192.168.128.0/17, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4, 224.0.0.0/3, 192.168.0.108/32
2019-01-02 12:07:16 Nicht zugelassene Apps für das VPN:
2019-01-02 12:07:16 MANAGEMENT: CMD 'needok 'OPENTUN' ok'
2019-01-02 12:07:16 Initialization Sequence Completed
2019-01-02 12:07:16 MANAGEMENT: >STATE:1546427236,CONNECTED,SUCCESS,10.8.8.13,185.216.34.101,1194,,
2019-01-02 12:07:16 PID_ERR replay-window backtrack occurred [1] [TLS_WRAP-0] [0_11111111] 1546427234:10 1546427234:9 t=1546427236[0] r=[-1,64,15,1,1] sl=[54,10,64,272]
2019-01-02 12:07:16 New OpenVPN Status (CONNECTED->LEVEL_CONNECTED): SUCCESS,10.8.8.13,185.216.34.101,1194,,
2019-01-02 12:07:16 New OpenVPN Status (CONNECTED->LEVEL_CONNECTED): SUCCESS,10.8.8.13,185.216.34.101,1194,,
2019-01-02 12:07:16 Debug state info: CONNECTED to WIFI "UPCFD7B48D", pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-01-02 12:07:26 PID_ERR replay-window backtrack occurred [2] [SSL-0] [00_000111111112222233333333333377788889999999999999999>] 0:55 0:53 t=1546427246[0] r=[-3,64,15,2,1] sl=[9,55,64,272]
2019-01-02 12:07:52 PID_ERR replay-window backtrack occurred [3] [SSL-0] [0___000000000000000000111111111111111111111122222222222222222222] 0:140 0:137 t=1546427272[0] r=[-2,64,15,3,1] sl=[52,64,64,272]

Ergänzung (2. Januar 2019)

Ich nehme mal an, dass diese Zeilen für die NVPN DNS verantwortlich sind:

2019-01-02 12:07:16 SENT CONTROL [at40.nordvpn.com]: 'PUSH_REQUEST' (status=1)
2019-01-02 12:07:16 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option

Kann man das unterbinden?

 

[Darklanmaster]

Den openvpn static Key solltet du hier rausnehmen. Damit kann sich jeder mit deinen Daten einwählen

 

[BlackMark]

Schau mal hier: How to push my own DNS server to OpenVPN?

BTW: Sei dir im klaren, dass ein großer Vorteil von VPN verschwindet, wenn du DNS requests außerhalb der VPN Verbindung machst. Ich weiß nicht warum du einen VPN verwendest, aber keine Trackbarkeit und kein Geoblocking verlierst du, außer wenn DNS ausschließlich über den VPN läuft.

Gruß
BlackMark

 

[Raijin]

Kann man das unterbinden?

Jein. Ab Version 2.3.4 gibt es die Client-Option "pull-filter". Damit könnte man in deinem Falle den gepushten DNS unterbinden:

pull-filter ignore "dhcp-option DNS"

Inwiefern das aber schon bei Android angekommen ist, weiß ich nicht.

 

[anarki99]

@BlackMark
Die schwindende Sicherheit hatte ich im Hinterkopf. Allerdins gibt es auch DNS Server die (zumindest offiziell) nicht protokolliere - Cloudflare zb. Aber ich gebe dir Recht - niemand kann sagen, ob dem auch wirklich so ist.

@Raijin u. BlackMark
DAnke für den Hinweis. LEider kann ich auf Android nicht direkt auf die Configurationsdateien zugreifen - sondern nur über die App (OpenVPN für Android) - und hat keine Funktion zur direkten Bearbeitung.
Ich werde die Tage noch mit anderen Apps hantieren, die evtl. diese Möglichkeit bieten.

 

[BlackMark]

Doch, OpenVPN for Android kann Config Files importieren. Du bearbeitest die Config am PC, schiebst sie aufs Handy und importierst sie dann mit der App. Das funktioniert.

Gruß
BlackMark

 

[Raijin]

LEider kann ich auf Android nicht direkt auf die Configurationsdateien zugreifen

Hm? Aber dein erster Beitrag impliziert, dass du Zugriff auf die Config hast oder wie hast du sonst "dhcp-option DNS 192.168.0.108" gesetzt? Oft kann man in VPN-Apps auch einfach Config-Files importieren. Das ist durchaus sinnvoll und in Teilen auch notwendig, wenn man beispielsweise lokale Routen benötigt und nicht einfach All-Over-VPN gehen will.

So 100%ig nachvollziehen kann ich deine Intention jedoch auch nicht. Die IP des pihole impliziert ein lokales Netzwerk. VPN und dazu noch auf Mobilgeräten deutet in der Regel jedoch auf eine Nutzung "unterwegs" hin. Dann erwähnst du wiederum cloudflare DNS und dass diese wohl nicht protokollieren. Geht's dir nu um pihole als Werbeblocker oder andere DNS wegen potentieller Logs? Ich steig da irgendwie nicht durch.

 

[anarki99]

@BlackMark
Danke für den Tipp, so hats funktioniert in Verbindung mit "pull-filter ignore "dhcp-option DNS"
Es wird nur noch Pihole als DNS Server ausgewiesen. Allerdings komme ich damit überhaupt nicht mehr ins Netz. Ich vermute Mal das nun auch ein paar Verbindungsrelevante Kommandos geblockt werden. Wie auch immer. Einen Versuch wars wert.

@Raijin
Die Config wird automatisiert, basierend auf Eingaben in OpenVPN für Android, erstellt - also keine direkte Bearbeitung möglich, ausser mit BlackMarks Trick.
VPN läuft auf den Androiden immer - Intern u. Extern. Im Wesentlichen gehts mir darum, dass ich es nicht gerne habe, wenn mir laufend Leute über die Schultern schauen. Aber ich hätte auch gerne zusätzlich den Werbeblocker auf Netzwerkebene gehabt.
Abschließend kann ich sagen, dass die Securitybedenken überwiegen und mich mich für VPN und gegen Pihole entscheide - zumindest bis ich einen (günstigen) Router anschaffe, der beides kann.

Danke nochmal an euch beide für das rasche Feedback!

LG Wolfi

 

[Raijin]

Unterwegs bringt dir der lokale pihole in deinem Heimnetzwerk ja eh nichts. Das heißt das würde in dem Falle sogar zu einer fehlerhaften Konfiguration führen. Wobei, fehlerhaft nicht im eigentlichen Sinne, sondern mit einem nicht erreichbaren DNS. Wenn du explizit einen DNS angeben willst, sollte dieser auch in allen Szenarien erreichbar sein - beispielsweise ein public pihole oder du hostest einen selbst auf einem vServer im www. Bei aktiver VPN-Verbindung würde so ein DNS dann durch NordVPN hindurch verbunden werden.

Was deine Sicherheitsbedenken angeht: Klar, an einem öffentlichen Hotspot ist ein VPN sehr sinnvoll, da im Zweifelsfalle der Tischnachbar im Café deinen Traffic mitlesen kann. Über Mobilfunk ist das wiederum etwas anderes. Im privaten Netzwerk erst recht. Dein Internet-Provider könnte dann zwar nicht mehr mitlesen, aber dafür der VPN-Anbieter. Du verlagerst das Problem also nur von einer Firma zur nächsten. Es ist fraglich ob man einem VPN-Anbieter mehr trauen kann als dem eigenen Internet-Anbieter... Aus dem privaten Netzwerk ist so ein VPN daher maximal zur Umgehung von Geoblocking sinnvoll, da so oder so die letzte Strecke zum Ziel ohne VPN durch's www läuft..


VPN ist kein Allheilmittel gegen alles. Quasi "ASS", Anschalten, Anonym, Sicher - nope. Genausowenig wie pihole klassische Adblocker überflüssig macht - sobald eine Webseite ihre Werbung selbst hostet, kann pihole nämlich rein gar nichts tun. Ähnlich ist es mit VPN. Die Verschlüsselung geht nur von dir zum VPN-Anbieter und danach ist alles so offen oder verschlüsselt wie es ohne VPN auch gewesen wäre (https bleibt zB https, aber http bleibt auch http).

Ein Router der beides kann ist simpel: Raspberry PI. Je nachdem wie schnell deine Internetanbindung ist, brauchst du aber evtl. etwas mit mehr Dampf. Ein PI schafft so grob 15-30 Mbit/s mit OpenVPN. Das kommt stark auf die Konfiguration an, weil man aus OpenVPN noch einiges rausholen kann. Allerdings bedarf es dazu eines Eingriffs in die Serverkonfiguration, was natürlich bei NordVPN nicht möglich ist. Wie sehr die Config von denen optimiert ist, weiß ich aber nicht. Ansonsten tut's jeder x-beliebige Mini-PC mit etwas mehr Muskeln. Mein alter i3 (2nd Gen) schafft zB bis zu ~850 Mbit/s mit OpenVPN (natürlich im LAN, hab nur VDSL25).

 

[anarki99]

@Raijin
Ich gebe dir großteils recht. Allerdings bin ich ohne VPN in den meisten Fällen direkt zuordenbar und damit profilierbar - bei VPN eher nicht (außer man verwendet zb. ein Login auf einer HP).
Sollte sich mal tatsächlich ein Abmahner der Contentindustrie bis zu mir verirren, hoffe ich mit VPN auf der sichereren Seite zu sein. Im Falle von echter Strafverfolgung wird evtl. auch VPN nicht helfen, weil sich die Ermittler dann einem wohl anderweitig auf die Fersen heften. - in solchen berechtigten Fällen ist das auch gut so!

OpenVPN und Pihole zugleich am Raspi werden ich testen - erwarte mir aber, wie von dir beschrieben, keine gute Geschwindigkeit - und die schätze ich zuhause sehr. Deshalb wird es über kurz oder lang ein eigener Router werden, da die UPC Bocen bei uns in Österreich überhaupt nicht konfigurierbar sind. (Connect Box)

Soweit meine Überlegungen zur Thematik...

 

[Raijin]

Du vergisst dabei aber eines: Es gibt Dienste, die durchaus ein berechtigtes Interesse an deiner Identität haben. Das bezieht sich nicht zwangsläufig auf's Tracking, sondern dient sogar deiner Sicherheit. Beispiel Online-Banking. Banken sind gut damit beraten, einschlägig bekannte VPNs per Definition zu blocken. Das wird gerade deswegen getan, weil ein Login beim Online-Banking mit bewusster Anonymisierung förmlich nach Mißbrauch riecht. Mich hat selbst schon mal ein simpler Steam-Key-Shop aus der Bestellung geworfen, weil ich aus Versehen noch über Cyberghost online war - und das bei einem Key für 0,79€ ...............

Ein weiteres Beispiel wären Dienste, die Geoblocking einsetzen. Auch das tun sie nicht zwangsläufig, um dich als Nutzer zu drangsalieren, sondern weil sie ggfs nationale Gesetze befolgen müssen. Streaming-Anbieter wie Netflix und Co gehen daher immer häufiger und immer rigoroser gegen VPN-Anbieter vor und setzen sie schlichtweg auf eine Blacklist.

Je fester du das VPN in dein Netzwerk einbaust, im worst case sogar direkt im Haupt-Router, umso ärgerlicher und aufwändiger wird es, dies zumindest temporär abzuschalten. Ich rate daher immer zu einer parallelen Struktur über ein zweites Gateway. Ein PI oder dergleichen säße dann zB auf der IP a.b.c.2 und alle Geräte, die entweder permanent oder auch nur temporär über VPN online gehen sollen, bekommen die .2 als Gateway verpasst. Alle anderen Geräte und insbesondere 08/15 Geräte ohne Ansprüche können weiterhin über den Hauptrouter ins Internet gehen. Je nachdem was man als Standard haben möchte, setzt man im DHCP-Server - sofern möglich - die .1 oder die .2 als Standard-Gateway ein. Ich hab auf meinem Desktop eine banale Batch-Datei, die per Doppelklick mein Gateway auf VPN umbiegt.

Wie gesagt, VPN ist kein Dampfhammer, den man blind einfach auf alles draufhauen sollte. Es ist in der Regel sinnvoller, das VPN gezielt dann einzusetzen, wenn man es benötigt. Wenn du natürlich ständig Sachen aus der .. .. sagen wir mal .. .. Grauzone runterlädst, dann tritt dieser Fall zwar mehr oder weniger permanent ein, aber dann sollte man eher hinterfragen ob das noch im Rahmen ist... Und selbst wenn, dann würde ich eben für dieses Gerät das besagte VPN-Gateway fest einstellen und für Handy und Co auf Standard lassen. Oder was machst du daheim so ultrageheimes am Handy? Also ich surfe daheim am Handy hier, ab und an auf spiegel.de und dergleichen, aber nix was in irgendeiner Form eine Anonymisierung im eigenen Netzwerk rechtfertigt. Und wie gesagt, mindestens der VPN-Anbieter "weiß was du letzten Sommer getan hast" - um mal einen Filmtitel zu mißbrauchen- , egal ob sie dir hoch und heilig versprechen, keine Logs zu führen.

Aber das muss letztendlich jeder für sich selbst entscheiden und wenn das dein Weg ist, bitte sehr

 

[anarki99]

Mir gefällt deine analytische Denkweise.
Ich gebe dem Raspi- OpenVPN mal eine Chance und entscheide dann weiter.

 

[Raijin]

Hehe, naja, ich hab das eben alles schon durch. Man kann zwar mit Always-VPN auch bis an sein Lebensende ohne Probleme durchkommen - und hier im Forum machen das sicher auch einige, weil Threads dieser Art nicht selten sind - aber man sollte das zumindest immer im Hinterkopf behalten.

Nicht zuletzt kann es zB auch passieren, dass dem VPN-Server zwischendurch mal die Puste ausgeht und dann war's das mit der tollen xxx Mbit/s Leitung. Auch können zB Spielekonsolen, o.ä. ihre Probleme mit VPNs haben, da heutzutage auch viele Dinge direkt von Konsole zu Konsole gehen (Stichwort: NAT Typ).

Auch da wieder: Wenn man eh nur VDSL25 oder so hat (wie ich) oder gar keine Konsole besitzt, dann kratzt einen auch das nicht wirklich.

Wie auch immer, probier's einfach aus. Gerade beim PI ist das extrem simpel, weil es Hunderte Tutorials dazu gibt oder sogar fertige Images bzw. Docker-Container wo man dann lediglich die conf-Dateien einspielen muss - eine Sache von insgesamt ca. 15 Minuten.

 

[anarki99]

lol.
Bis auf die zitierten 15 Min. halte ich deine Aussagen für Glaubwürdig
Letzteres hängt wohl aber immer vom Geschick des Users ab -
und dabei dürftest du einen Vorsprung haben

LG

 

[Raijin]

Nicht wirklich. Mittels Docker kannst du .. eine Art Kleinst-VM runterladen, die bereits vollständig konfiguriert ist. Eigentlich brauchst du nur noch Zertifikat und conf-Datei. Aber von mir aus mach ne Stunde draus