VPN: IP-Leak sicher verhindern

Hallo zusammen,

ich nutzte seit längerem OpenVPN auf allen meinen Geräten, welches eine sichere Verbindung zu dem von mir gehosten VPN-Server herstellt.

Nun suche ich eine fast 100% sichere Möglichkeit IP Leaks zu verhindern.
Bsp: Nutze Linux und OpenVPN läuft als Service und wird bei jeden Systemstart gestartet. Bevor die Verbindung hergestellt werden kann, könnten aber theoretisch schon Datenpakete übertragen werden.

Meine Idee, für die Netzwerkadapter enp2s0 oder eth0 und wlan0 oder wlp3s0 nur Verbindungen zur IP des VPN-Servers erlauben und alle anderen Pakete zu droppen.

Hat jemand eine Idee wie dies zuverlässig umzuätzen wäre z.B. mit iptables etc... oder kennt jemand noch andere Möglichkeiten?

Z.B. http://unix.stackexchange.com/quest...ow-certain-ips-and-block-all-other-connection
iptables muss sofort als erstes nach dem initialisieren von eth0/lo aufgerufen werden um diese Einstellungen vorzunehmen. Wie man das macht ist distroabhängig.

Wobei man das wahrscheinlich schon als ersten Befehl nach init machen könnte also bevor das Netzwerkdevice up ist.

Andere Idee: Ich würde es über den Router erschlagen, dann hat man das Problem auch gleich für alle anderen Geräte im LAN erledigt und muß nicht darauf hoffen, daß x vor y initialisiert.

Ungefähr so: https://community.hide.me/tutorials/openvpn-mit-openwrt-firmware.4/ – Handhabung variiert natürlich mit VPN-Anbieter, Routermodell und -Betriebssystem.

@HominiLupus:

iptables muss sofort als erstes nach dem initialisieren von eth0/lo aufgerufen werden um diese Einstellungen vorzunehmen.

Zum Vergrößern anklicken....

So wie du das schreibst liest sich das, als meintest du, dass iptables öfter aufgerufen werden muss, um Pakete blocken zu können - das stimmt aber nicht.

Einmal aufgerufen, sind die Einstellungen persistiert und gelten sofort.

Ich empfehle im Übrigen, ufw als Frontend für iptables zu verwenden.

CyberNation_RX schrieb:

Hallo zusammen,

ich nutzte seit längerem OpenVPN auf allen meinen Geräten, welches eine sichere Verbindung zu dem von mir gehosten VPN-Server herstellt.

Nun suche ich eine fast 100% sichere Möglichkeit IP Leaks zu verhindern.

Zum Vergrößern anklicken....

Und was das soll das bringen? Die 100% die du meinst, sind quasi 0%. Der VPN-Server wird auch bei irgendeinem Provider stehen, der hat deine Daten. Kommt eine Anfrage, wird der diese beantworten,..der kennt auch deine real IP oder lässt einfach loggen wenn die Anfrage kommt.

Da sind dann IP leaks über Applikationen, DNS,.. oder andere noch gar nicht eingeschlossen.

Es gibt VPN-Anbieter, die nicht loggen, Bezahlung via Bitcoin, PSC etc. anbieten und eigene DNS-Server betreiben.

@DeusoftheWired

Und das glaubst du? Da glaube ich schon eher dem BND das er nichts von den Selektoren wusste. Beweis für die Aussage gibt es nicht. Wie es so oft gezeigt hat, loggen sie doch, alleine schon wegen Bezahlung und co.

Wenn herauskommt, daß man in einem einzigen Fall gelogen hat, ist das extrem schädlich für’s Geschäft. Hat man bei Hide My Ass und LulzSec gesehen.

Auch für Bezahlung muß nicht geloggt werden. Code für Nutzerkonto generieren, BC-Eingang mit Code registrieren und Nutzerkonto für Zeitraum x aktiviert halten – nichts weiter notwendig. Macht Posteo übrigens ähnlich mit der Barzahlung.

Beweisen ist dabei schwierig. Dafür müßte der VPN-Anbieter sämtliche Aufforderungen zur Datenherausgabe veröffentlichen, die er von gesetzlichen Stellen erhält, und man müßte eine Aufzeichnung der Tat haben, wegen der eine Stelle angefragt hat. Weil das aus offensichtlichen Gründen nie passieren wird, kann man das nicht im mathematischen Sinne beweisen, wohl aber durch das Ausbleiben von Gesetzespost im Briefkasten als Indiz zählen.

Andersrum ist es dagegen wesentlich einfacher. Hat man sein Netzwerk so konfiguriert, daß Verbindungen ausschließlich via VPN nach draußen gehen (und nichts weiter in der Anonymisierungskette verwendet wird), und erhält trotzdem Post, muß der VPN-Anbieter gelogen und Logs angefertigt haben.

Ein umfassender Vergleich: https://thatoneprivacysite.net/vpn-comparison-chart/

Danke für die vielen Tipps und Ideen:

Nutze jetzt Regeln mithilfe von Iptables welche hier eingertagen werden: /etc/network/if-pre-up.d

iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -d $VPNIP -j ACCEPT
iptables -A OUTPUT -d 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -d 192.168.64.0/24 -j ACCEPT
iptables -A OUTPUT -j REJECT