Wireguard VPN Kaskade

[Anonymous User]

Hi,

ich stelle mir gerade eine Sicherheitsfrage, meine Privatsphäre betreffend.
Zudem möchte ich mein VPN Konstrukt besser verstehen.

Vorab:
Mein aktueller ISP betreibt CGNAT, weshalb mein WAN Anschluss keine öffentliche IP mehr hat.

Deshalb habe ich mir einen VPS in einer Cloud gemietet, dort Wireguard aufgesetzt + Proxy Arp, der sich mit meiner OPNsense verbindet und in dem Tunnel eine öffentliche IP an meine OPNsense daheim routet.

An meiner OPN habe ich eine zweite WAN Schnittstelle, wan_wg und diese hat die öffentliche IP von dem Cloudserver Anbieter.

Damit betreibe ich Forwarding etc.

Kann auf meine Serverdienste (in einer DMZ) von unterwegs zugreifen.

Funktioniert auch bisher wunderbar.

Zu meiner Frage:
Wenn ich auf meiner OPNSense daheim einen weiteren wg Server erstelle und mein Handy mit diesem vpn verbinde und als endpunkadresse eben die geroutete öffentliche IP vom Cloud Server angebe, dann müsste das auch funktionieren.

Mein Ziel ist es, mein Adguard auch von Unterwegs nutzen zu können.

Jedoch ist dabei meine Befürchtung, dass der ganze Traffic vom Cloudserver Anbieter mitgeschnitten werden könnte?

SG
Anonymous User

 

[_anonymous0815_]

Jedoch ist dabei meine Befürchtung, dass der ganze Traffic vom Cloudserver Anbieter mitgeschnitten werden könnte?

Eigentlich ist es doch simpel: Prinzipiell geht der Verkehr über den VPS, also kann das was darüber geht, theoretisch auf jedem Layer, an jedem Hop mitgeschnitten werden... aber Wireguard ist Ende-zu-Ende verschlüsselt, also liest man nur Zahlensalat.

 

[Anonymous User]

Okay, aber ist es nicht so, dass nur der Verkehr zwischen Client und VPN Server verschlüsselt ist?
Ich bin eben nicht sicher, ob der VPS den vpn traffic verschlüsselt weiterschickt

 

[_anonymous0815_]

Wenn Du eine zweite Instanz auf dem Server zu Hause aufsetzt, hast Du doch quasi ein VPN-Tunnel im VPN-Tunnel.

Ergänzung (8. August 2023)

Falls Du dennoch Zweifel hast, kannst Du ja mal auf dem VPS Wireshark installieren und den Traffic analysieren. Denke aber, dass das Ergebnis nicht überraschend sein wird.

 

[Anonymous User]

okay, klingt logisch. Hab aber noch Verständisprobleme wie genau die Verbindungen aufgebaut werden..
Also wie der Tunnel im Tunnel aufgebaut ist

 

[kieleich]

das ist wie bei Tor - die Exit Node sieht den Traffic

bei deinem Wireguard Konstrukt ist, der VPS, die Exit Node ... die Brücke ins Freie Internet

das einzige was dich da noch rettet ist das alle Seiten heute zutage HTTPS einsetzen, aber mit welchen Domains Servern IPs du dich verbindest sieht man ja trotzdem noch

also Ja du solltest bei sowas dem VPS Hoster vertrauen können

das nächste Problem ist natürlich das es ordentlich auf die Bandbreite geht wenn du vom VPS erst nach Hause und dann erst weiter zum nächsten Gerät. Also einmal aus dem Internet geholt und übers Internet zurück geschickt

merkt man dann beim DSL an der niedrigen Upload Geschwindigkeit

kannst du deinen Werbefilter direkt auf dem VPS betreiben, fällt einmal dieser Umweg weg

 

[_anonymous0815_]

Ist das erst mal der grobe Aufbau oder habe ich etwas vergessen? (Ich bin kein Visualisierungskünstler)

 

[Anonymous User]

Danke euch!
Sollte jetzt alles verstanden haben.

das nächste Problem ist natürlich das es ordentlich auf die Bandbreite geht wenn du vom VPS erst nach Hause und dann erst weiter zum nächsten Gerät. Also einmal aus dem Internet geholt und übers Internet zurück geschickt

Darüber mache ich mir noch Gedaken. Ich möchte ja nicht den ganzen Traffic vom Handy über vpn schicken, also 0.0.0.0/0, sondern nur dns.

Vielleicht setze ich das auch mit einem 2. DNS um nur für Mobilgeräte, ein Pihole aufm Server, packe den in die DMZ

Weil das möchte ich nicht nutzen:
https://adguard-dns.io/en/welcome.html

@_anonymous0815_ danke für deine Visualisierung, das trifft es gut, so habe ich das vor.

 

[_anonymous0815_]

Ich bin mittlerweile der Überzeugung, dass @kieleich mit seiner Aussage recht hat! Ich habe den Ausgangspost leicht anders interpretiert. Fakt ist, dass Verschlüsselung ja auch durch DNS over HTTPS oder TLS erfolgen kann, dann ist es halt so, wie er beschreibt, die IPs wären immer noch einsehbar.

Ergänzung (8. August 2023)

Aber mal anders gefragt. Du hast ja ein ganz normales Heimmnetz mit 10.0.0.0/8 oder 172.16.0.0/12 oder 192.168.0.0/16? Und der VPS kann z.B. direkt den Adguard vom Bild anpingen?

Ergänzung (8. August 2023)

Theoretisch wäre dann halt immer noch die Option mit dem Tunnel im Tunnel, wenn ich keinen Denkfehler habe: Den ersten Tunnel als Peering betrachten und dann quasi vom VPS bis zum Adguard einen inneren Tunnel aufbauen

VPS                                        Adguard
oeffentlicherIP:oeffentlicherPort <----> privateIP:privaterPort

Klar, der VPS wäre immer noch der reale Endpunkt, aber die Daten sollten dann bis zum Adguard verschlüsselt vorliegen.

Ergänzung (8. August 2023)

Wäre jetzt so meine Idee, was aber hieße, dass der VPS jedes Endgerät im Heimnetz anpingen könnte, also eher eine Spinnerei. Und natürlich würde dann auch irgendwann die Bandbreite limitieren.

 

[Anonymous User]

Aber mal anders gefragt. Du hast ja ein ganz normales Heimmnetz mit 10.0.0.0/8 oder 172.16.0.0/12 oder 192.168.0.0/16? Und der VPS kann z.B. direkt den Adguard vom Bild anpingen?

Ja habe ich. Ich denke schon, dass dein Konstrukt funktionieren würde.
Das habe ich noch nicht so umgesetzt und werde ich wahrscheinlich auch nicht..

Ich werde einfach einen 2. DNS aufsetzen und diesen öffentlich zugänglich machen. Ist zwar weniger sicher, dafür aber weniger overhead und es ist simpler.

Und den 2. DNS werde ich ausschließlich für mein Handy verwenden.

als 1. dns Server trage ich mein Adguard von daheim ein, sobald ich im LAN bin, nutzt mein Handy Adguard.
als 2. dns Server trage ich den öffentlichen Pihole ein, den wird mein Handy unterwegs nutzen.

 

[kieleich]

Fakt ist, dass Verschlüsselung ja auch durch DNS over HTTPS oder TLS erfolgen kann, dann ist es halt so, wie er beschreibt, die IPs wären immer noch einsehbar.

Auch die Domain Namen, bleiben Einsehbar

Der Domain Name wird unverschlüsselt übertragen (Server Name Indication) da ein Server, eine IP, mehrere Domänen bewirtschaften kann und dann je nach dem auch ein anderes Zertifikat ausliefern muss

HTTPS verschlüsselt den Daten Verkehr, besser als nichts aber anonym oder privat ist dieses nicht

Wegen diesen und anderen Problemen wurde ja gerade Tor Onion Routing ins Leben gerufen und selbst bei TOR gibt es Probleme eben das die Exit Node vieles im Klar Text sieht (so gesehen weniger Sicher als den ISP zu nehmen)