ComputerBase Menü
Aktuelles

Wireguard VPN Kaskade

Anonymous User

Anonymous User

Ensign
Registriert
Juli 2019
Beiträge
170
Hi,

ich stelle mir gerade eine Sicherheitsfrage, meine Privatsphäre betreffend.
Zudem möchte ich mein VPN Konstrukt besser verstehen.

Vorab:
Mein aktueller ISP betreibt CGNAT, weshalb mein WAN Anschluss keine öffentliche IP mehr hat.

Deshalb habe ich mir einen VPS in einer Cloud gemietet, dort Wireguard aufgesetzt + Proxy Arp, der sich mit meiner OPNsense verbindet und in dem Tunnel eine öffentliche IP an meine OPNsense daheim routet.

An meiner OPN habe ich eine zweite WAN Schnittstelle, wan_wg und diese hat die öffentliche IP von dem Cloudserver Anbieter.

Damit betreibe ich Forwarding etc.

Kann auf meine Serverdienste (in einer DMZ) von unterwegs zugreifen.

Funktioniert auch bisher wunderbar.

Zu meiner Frage:
Wenn ich auf meiner OPNSense daheim einen weiteren wg Server erstelle und mein Handy mit diesem vpn verbinde und als endpunkadresse eben die geroutete öffentliche IP vom Cloud Server angebe, dann müsste das auch funktionieren.

Mein Ziel ist es, mein Adguard auch von Unterwegs nutzen zu können.

Jedoch ist dabei meine Befürchtung, dass der ganze Traffic vom Cloudserver Anbieter mitgeschnitten werden könnte?

SG
Anonymous User
 
Anonymous User schrieb:
Jedoch ist dabei meine Befürchtung, dass der ganze Traffic vom Cloudserver Anbieter mitgeschnitten werden könnte?
Zum Vergrößern anklicken....
Eigentlich ist es doch simpel: Prinzipiell geht der Verkehr über den VPS, also kann das was darüber geht, theoretisch auf jedem Layer, an jedem Hop mitgeschnitten werden... aber Wireguard ist Ende-zu-Ende verschlüsselt, also liest man nur Zahlensalat.
 
Okay, aber ist es nicht so, dass nur der Verkehr zwischen Client und VPN Server verschlüsselt ist?
Ich bin eben nicht sicher, ob der VPS den vpn traffic verschlüsselt weiterschickt
 
Wenn Du eine zweite Instanz auf dem Server zu Hause aufsetzt, hast Du doch quasi ein VPN-Tunnel im VPN-Tunnel.
Ergänzung ()

Falls Du dennoch Zweifel hast, kannst Du ja mal auf dem VPS Wireshark installieren und den Traffic analysieren. Denke aber, dass das Ergebnis nicht überraschend sein wird.
 
okay, klingt logisch. Hab aber noch Verständisprobleme wie genau die Verbindungen aufgebaut werden..
Also wie der Tunnel im Tunnel aufgebaut ist
 
das ist wie bei Tor - die Exit Node sieht den Traffic

bei deinem Wireguard Konstrukt ist, der VPS, die Exit Node ... die Brücke ins Freie Internet

das einzige was dich da noch rettet ist das alle Seiten heute zutage HTTPS einsetzen, aber mit welchen Domains Servern IPs du dich verbindest sieht man ja trotzdem noch

also Ja du solltest bei sowas dem VPS Hoster vertrauen können

das nächste Problem ist natürlich das es ordentlich auf die Bandbreite geht wenn du vom VPS erst nach Hause und dann erst weiter zum nächsten Gerät. Also einmal aus dem Internet geholt und übers Internet zurück geschickt

merkt man dann beim DSL an der niedrigen Upload Geschwindigkeit

kannst du deinen Werbefilter direkt auf dem VPS betreiben, fällt einmal dieser Umweg weg
 
  • Gefällt mir
Reaktionen: _anonymous0815_
Ist das erst mal der grobe Aufbau oder habe ich etwas vergessen? (Ich bin kein Visualisierungskünstler)
Blank diagram.jpeg
 
  • Gefällt mir
Reaktionen: madmax2010
Danke euch! :schluck:
Sollte jetzt alles verstanden haben.
kieleich schrieb:
das nächste Problem ist natürlich das es ordentlich auf die Bandbreite geht wenn du vom VPS erst nach Hause und dann erst weiter zum nächsten Gerät. Also einmal aus dem Internet geholt und übers Internet zurück geschickt
Zum Vergrößern anklicken....
Darüber mache ich mir noch Gedaken. Ich möchte ja nicht den ganzen Traffic vom Handy über vpn schicken, also 0.0.0.0/0, sondern nur dns.

Vielleicht setze ich das auch mit einem 2. DNS um nur für Mobilgeräte, ein Pihole aufm Server, packe den in die DMZ

Weil das möchte ich nicht nutzen:
https://adguard-dns.io/en/welcome.html

@_anonymous0815_ danke für deine Visualisierung, das trifft es gut, so habe ich das vor.
 
Ich bin mittlerweile der Überzeugung, dass @kieleich mit seiner Aussage recht hat! Ich habe den Ausgangspost leicht anders interpretiert. Fakt ist, dass Verschlüsselung ja auch durch DNS over HTTPS oder TLS erfolgen kann, dann ist es halt so, wie er beschreibt, die IPs wären immer noch einsehbar.
Ergänzung ()

Aber mal anders gefragt. Du hast ja ein ganz normales Heimmnetz mit 10.0.0.0/8 oder 172.16.0.0/12 oder 192.168.0.0/16? Und der VPS kann z.B. direkt den Adguard vom Bild anpingen?
Ergänzung ()

Theoretisch wäre dann halt immer noch die Option mit dem Tunnel im Tunnel, wenn ich keinen Denkfehler habe: Den ersten Tunnel als Peering betrachten und dann quasi vom VPS bis zum Adguard einen inneren Tunnel aufbauen
Code: 
VPS                                        Adguard
oeffentlicherIP:oeffentlicherPort <----> privateIP:privaterPort

Klar, der VPS wäre immer noch der reale Endpunkt, aber die Daten sollten dann bis zum Adguard verschlüsselt vorliegen.
Ergänzung ()

Blank diagram(1).jpeg


Wäre jetzt so meine Idee, was aber hieße, dass der VPS jedes Endgerät im Heimnetz anpingen könnte, also eher eine Spinnerei. Und natürlich würde dann auch irgendwann die Bandbreite limitieren.
 
Zuletzt bearbeitet:
_anonymous0815_ schrieb:
Aber mal anders gefragt. Du hast ja ein ganz normales Heimmnetz mit 10.0.0.0/8 oder 172.16.0.0/12 oder 192.168.0.0/16? Und der VPS kann z.B. direkt den Adguard vom Bild anpingen?
Zum Vergrößern anklicken....
Ja habe ich. Ich denke schon, dass dein Konstrukt funktionieren würde.
Das habe ich noch nicht so umgesetzt und werde ich wahrscheinlich auch nicht..

Ich werde einfach einen 2. DNS aufsetzen und diesen öffentlich zugänglich machen. Ist zwar weniger sicher, dafür aber weniger overhead und es ist simpler.

Und den 2. DNS werde ich ausschließlich für mein Handy verwenden.

als 1. dns Server trage ich mein Adguard von daheim ein, sobald ich im LAN bin, nutzt mein Handy Adguard.
als 2. dns Server trage ich den öffentlichen Pihole ein, den wird mein Handy unterwegs nutzen.
 
  • Gefällt mir
Reaktionen: _anonymous0815_
_anonymous0815_ schrieb:
Fakt ist, dass Verschlüsselung ja auch durch DNS over HTTPS oder TLS erfolgen kann, dann ist es halt so, wie er beschreibt, die IPs wären immer noch einsehbar.
Zum Vergrößern anklicken....
Auch die Domain Namen, bleiben Einsehbar

Der Domain Name wird unverschlüsselt übertragen (Server Name Indication) da ein Server, eine IP, mehrere Domänen bewirtschaften kann und dann je nach dem auch ein anderes Zertifikat ausliefern muss

HTTPS verschlüsselt den Daten Verkehr, besser als nichts aber anonym oder privat ist dieses nicht

Wegen diesen und anderen Problemen wurde ja gerade Tor Onion Routing ins Leben gerufen und selbst bei TOR gibt es Probleme eben das die Exit Node vieles im Klar Text sieht (so gesehen weniger Sicher als den ISP zu nehmen)
 
  • Gefällt mir
Reaktionen: _anonymous0815_
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Anonymous User
opnsense wireguard ip routing
Antworten
17
Aufrufe
849
Anonymous User
Anonymous User
Roman1210
UDM Pro Wireguard VPN mit 2 ISP´s
Antworten
10
Aufrufe
643
Roman1210
Roman1210
M
Fritzbox 6690 mit DS-Lite routet traffic nicht durch Wireguard VPN.
2
Antworten
25
Aufrufe
2.560
klampf
K
D
Fritzbox VPN und Klient Wireguard verbindung
Antworten
8
Aufrufe
835
dermarkusjoo
D
SaxnPaule
Probleme bei VPN Einwahl
2
Antworten
23
Aufrufe
992
SaxnPaule
SaxnPaule
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz