VPN nutzen in Japan in einem öffentlichen Netzwerk

[[LA]Chris]

Hallo an alle,
meine Freundin macht eben ein Auslandssemester in Japan und möchte in ihrer Unterkunft einen VPN nutzen um deutsche Filme und Serien anschauen zu können.
Allerdings ist Sie dort in einem öffentlichen Netzwerk, wir haben bisher Cyberghost und NordVPN benutzt allerdings funktionieren beide nicht und Sie kann sich mit keinem Netzwerk verbinden.
Ist so etwas überhaupt Möglich? Kann es sein das es durch das Uni-Wlan gesperrt ist?
Was kann man da machen?

Viele Grüße
Chris

 

[Pummeluff]

Ich war letztes Jahr im April in Japan und hatte dort eine Prepaid-SIM. Ich konnte einen Wireguardtunnel zu meiner Fritzbox problemlos aufbauen und auch als Exitnode nutzen. Also an Japan liegt's nicht.

 

[chrigu]

Natürlich kann eine uni bestimmte Sachen blockieren. Da aber in Japan die Kosten einer flatrate für händy nicht wirklich viel Geld kostet…. Macht es doch übers händy

 

[till69]

Kann es sein das es durch das Uni-Wlan gesperrt ist?

Ja

Was kann man da machen?

OpenVPN über TCP Port 443 sollte problemlos möglich sein.

 

[PC69]

Sollte das Uni-WLAN mit z.B. einer Application Firewall konfiguriert sein, und nicht mit einer port-basierten, eher wenig. Dazu sollte man die Admins des Uni-WLANs fragen. Bei Application Firewalls wird die Applikation erkannt, nicht nur der Port, den diese verwendet. Beispiel hierfür wären die Firewalls von Palo Alto oder FortiNet. Da hat man dann auch mit OpenVPN kaum eine Chance. Da wäre der Weg über eine SIM wahrscheinlich tatsächlich leichter.

 

[hildefeuer]

Ich mache das öfters im Urlaub. Entscheidend ist der Zugang in D. Der muss dual Stack sein. Ich habe DG ipv6 DS Lite. Da geht das dann nur in wlans mit ipv6 Zugang. Was die wenigsten haben. Von mobil Netzen geht es immer.
Geht aktuell mit wireguard und ipsec mit FB7490 +Fb7590.

 

[Nero FX]

@hildefeuer

NordVPN und co haben aber IPv4 und IPv6 offen. Die Funktionieren aber nicht laut TE.

@[LA]Chris

Habt ihr Nord VPN mal auf SSL VPN konfiguriert? Das ist nicht von einer HTTPS Website zu unterscheiden.

 

[PC69]

Habt ihr Nord VPN mal auf SSL VPN konfiguriert? Das ist nicht von einer HTTPS Website zu unterscheiden.

Doch, siehe mein Kommentar oben. Und was ich da geschrieben habe, ist keine bleeding-edge Zukunftstechnologie. Da gibt es schon seit ~10 Jahren. Beispiel: https://applipedia.paloaltonetworks.com/ - "NordVPN". Kann der Admin blocken, wenn er es für sinnvoll hält. Aus persönlicher Erfahrung kann ich sagen, die false positives liegen dabei bei nur 1-2%.

 

[Nero FX]

@PC69

Eine sauber realisierter SSL Tunnel kann nicht aufgebrochen werden.
Das funktioniert nur mit dem Aufbrechen der Verschlüsslung oder mit der Bestimmung der Ziel IP Adresse.

 

[Axxid]

Ich wohne in China. Cyberfhost, NordVPN, ExpressVPN und einige andere (die regelmäßig mit hohen Rabatten beworben werden) kann man vergessen.
Ich bin jetzt bei Mullvad und habe keine Probleme.

 

[PC69]

@PC69

Eine sauber realisierter SSL Tunnel kann nicht aufgebrochen werden.
Das funktioniert nur mit dem Aufbrechen der Verschlüsslung oder mit der Bestimmung der Ziel IP Adresse.

Der wird aber dafür gar nicht aufgebrochen. Die Applikation wird erkannt. Der Inhalt, wofür ein Aufbrechen tatsächlich notwendig wäre, ist dabei irrelevant.

 

[Nero FX]

@PC69

Genau die Firewall erkennt nur HTTPS/SSL aber weiß daher nicht das dort VPN statt eine Internetseite stattfindet. So kann der Betreiber nur SSL als ganzes Blocken.

 

[PC69]

Genau die Firewall erkennt nur HTTPS/SSL aber weiß daher nicht das dort VPN statt eine Internetseite stattfindet. So kann der Betreiber nur SSL als ganzes Blocken.

Eben nicht, siehe meine Kommentare in diesem Thread. Wir haben ~60.000 Anwender über Palo Alto Firewalls, die könnten Dir das aus eigener, teils leidvoller, Erfahrung bestätigen 🤷‍♂️ Bei port-basierten Firewalls wäre das noch möglich, ja, aber google mal nach "Next-Generation-Firewall". Wie geschrieben, die gibt es schon länger und sind mittlerweile auch für den Mittelstand bezahlbar.

 

[Raijin]

Es ist müßig über die potentiellen Schutzmechanismen zu diskutieren, wenn gar nicht bekannt ist ob sie überhaupt genutzt werden. Wenn man bei den vollintegrierten VPN-Clients der Anbieter einfach nur auf "Verbinden" klickt, weiß man erstmal weder welche VPN-Technologie verwendet wird noch welcher Port.

Im einfachsten Fall geht es mit OpenVPN auf TCP 443, weil womöglich gar kein DPI, o.ä. zum Einsatz kommt. Erst dann, wenn auch OpenVPN auf dem https Port nicht funktioniert, kann man davon ausgehen, dass das Uni-Netzwerk entsprechend gesichert ist.

Wozu also jetzt über umgelegte Eier und unbekannte Firewalls philosophieren?

Cyberghost bietet wie viele andere Anbieter auch so ziemlich alle VPN-Protokolle an, IPsec, WireGuard und eben auch OpenVPN. Man muss im Client mal nachgucken ob das Protokoll dort auf Automatik steht oder ob man explizit wählen kann. Laut FAQ soll man wählen können, aber ich hab seit Ewigkeiten kein Cyberghost mehr. Schalter finden, OpenVPN (tcp443) wählen ausprobieren, Feedback im Thread geben.

 

[PC69]

Ich wollte doch gar nicht "philosophieren", habe ganz doch oben ganz konkret darauf hingewiesen, den Admin des WLANS der Uni zu fragen. Die Diskussion kam erst auf, weil Du der Ansicht warst, dass das Tunneln über Port tcp/443 ausreicht und ich eben weiß, dass das eben oft nicht mehr genug ist.

Wie dem auch sei, ein schönes Wochenende allen!

P.S.: WireGuard und OpenVpn sind Applikationen, keine "VPN-Protokolle" 😁

 

[Raijin]

Die Diskussion kam erst auf, weil Du der Ansicht warst,

Ähm, nein, weil ....

P.S.: WireGuard und OpenVpn sind Applikationen, keine "VPN-Protokolle" 😁

... wenn du so ein Korrekter bist, dann solltest du den Thread nochmal von vorn lesen und vielleicht bemerkst du dann auch deinen Fehler in Bezug auf den Beginn und vor allem die Teilnehmer der Diskussion.



Im übrigen kannst du anschließend auch gleich mal OpenVPN selbst oder Wikipedia oder Tausende andere Quellen darauf aufmerksam machen, dass sie alle keine Ahnung haben.
Jeder weiß was gemeint ist, wenn von "VPN-Protokoll" die Rede ist, und diese Begriffe werden immer und überall synonym verwendet.

Protocol  Configuration
WireGuard 256-bit ChaCha20, 128-bit Poly1305
IPsec #1  256-bit ChaCha20, 128-bit Poly1305
IPsec #2  256-bit AES, 128-bit GCM
OpenVPN   256-bit AES, HMAC-SHA2-256, UDP mode

Quelle: Wireguard (Kapitel 8)

 

[gaym0r]

Doch, siehe mein Kommentar oben. Und was ich da geschrieben habe, ist keine bleeding-edge Zukunftstechnologie. Da gibt es schon seit ~10 Jahren. Beispiel: https://applipedia.paloaltonetworks.com/ - "NordVPN". Kann der Admin blocken, wenn er es für sinnvoll hält. Aus persönlicher Erfahrung kann ich sagen, die false positives liegen dabei bei nur 1-2%.

Als jemand der ab und zu mit Palo Altos zu tun hat, kann ich dir sagen, dass viele der Applikationen dort erst sauber erkannt werden, wenn man den Traffic aufbricht. Was Palo Alto kann: Bei HTTPS Traffic anhand des SNIs erkennen ob es sich z.B. um "Google" oder "Facebook" handelt.
Was nicht möglich ist:

• ohne Entschlüsselung zwischen bestimmten Subkategorieren unterscheiden (Facebook-Chat, Facebook-Games etc.)
• bei HTTPS-Traffic ohne SNI auf eine Applikation schließen

Deshalb ist es auch möglich OpenVPN Traffic durch die GFW zu kriegen, obwohl es seit 2012 geblockt wird.

 

[Fortatus]

Bietet die deutsche Uni deiner Freundin kein VPN an? Bei den Unis, die ich kenne, ist ein Tunnel kostenlos für Studis nutzbar.
Fulltunnel nach Deutschland, kostenlos, und wahrscheinlich nicht geblockt, da Uni und kein üblicher VPN-Anbieter für jedermann/jederfrau