Frage zum Prinzip Cyberghost und Verschlüsselung

[chris23az]

Hallo,

ich habe ein paar Fragen zu VPNs bzw. deren Funktion.

Ich habe folgendes Netzwerk aufgebaut.

Laptop ist am LAN eines DD-WRT Routers angeschlossen.
WAN des DD-WRT Routers ist mir einer Fritzbox verbunden und diese mit dem Internet.

Auf dem DD-WRT Router ist Cyberghost mit OpenVPN eingerichtet und funktioniert auch.

Nun dachte ich eigentlich das alles was ich im Netz tue verschlüsselt wird.

Allerdings kann ich auf auf der Firtzbox (http://192.168.178.1/html/capture.html) noch alles unverschlüsselt mitschneiden.

Verstehe ich das Prinzip eines VPNs falsch oder mache ich irgendwo einen Fehler?

danke

 

[HominiLupus]

Was ist die IP deines DD-WRT Routers und was ist die Ausgabe von ipconfig auf dem Laptop?

Du solltest wahrscheinlich OpenVPN auf deiner Fritzbox ausführen, denn das ist dein Router und nicht der DD-WRT AP/Switch.

Wobei jeder kommerzielle VPN Anbieter wie Cyberghost sowieso per Definition unvertrauenswürdig und nutzlos ist.

 

[Spawn182]

Sofern deine Konfiguration richtig ist, stimmt auch deine Vermutung. DD-WRT baut das VPN auf und der Fritzrouter sollte nicht mehr mithören können (logisch sieht dieser noch den verschlüsselten Traffic). Du musst dein Laptop aber auch so konfigurieren, dass es den VPN Router als Gateway benutzt.

 

[TrueAzrael]

Was schneidet denn die Fritzbox mit? (z.B. Screenshot)
Die Verbindung an sich sieht die Fritzbox logischerweise noch, weiß aber nicht was gesendet wird. Wohl aber woher die Daten kommen und wo sie hin sollen.
Auch Anzahl und Größe der Datenpakete sind meines Wissens für die Fritzbox noch ersichtlich.

 

[Raijin]

Alles eine Frage des Default Gateways ;-)

Nur dann, wenn an dem Gerät, das letztendlich den verschlüsselten Datenverkehr produziert bzw. weiterleiten soll, auch das VPN-Gateway als Default Gateway hat, wird verschlüsselt.

Will heißen: Ich gehe davon aus, dass der DD-WRT-Router zwar ein VPN aufgebaut hat, aber als Default Gateway trotzdem die Fritzbox hat. Das heißt, dass SÄMTLICHER Traffic via Fritzbox und damit unverschlüsselt geht. Wenn nun aber alles was wie DD-WRT-Router kommt über das VPN soll, dann muss das Default Gateway auf der IP vom Cyberghost-VPN-Gateway stehen und NUR die EXPLIZITE Route für den VPN-Aufbau via Fritzbox geht. Schließlich kann man den VPN-Tunnel nicht über den VPN-Tunnel herstellen, weil der VPN-Tunnel noch nicht hergestellt ist O_o

In Zahlen:

Routing-Tabelle im DD-WRT-Router:

IP              Subnetzmaske     Gateway
0.0.0.0         0.0.0.0          cyber.ghost.ip    <-- alles via vpn
cyber.ghost.ip  255.255.255.255  fritz.box.ip      <-- außer vpn selbst

Default-Gateway am Laptop hinterm DD-WRT-Router: ddwrt.router.ip


[Edit]
Gar nicht so doof @ azrael.. Ist das wirklich unverschlüsselter Datenverkehr? Woher weiß der TE das? Am Ende hab ich mir die ganze Mühe umsonst gemacht *lol*

 

[timta]

Zitat entfernt - Bitte Regeln beachten!

Ich kann dir leider nicht helfen aber du mir vielleicht. Ich bekomme Cyberghost unter DD-WRT einfach nicht zum laufen. Die Anleitung von Cyberghost funktioniert leider auch nicht. Wie hast du es geschaft es zum laufen zu bekommen ?


Gruß Timta

 

[chris23az]

Also in dem Mitschnitt der Firtzbox sehe ich noch die Namen der Websites die ich aufrufe.

ipconfig:
Meine IP: 192.168.1.123
Gateway: 192.168.1.1

Öffentliche IP (whatismyip.com):
95.211.212.197 (in NL)

IP der Fritzbox:
185.13.33.45

Auf der Fritzbox kann ich es nicht einrichten da nur die Rechner hinter dem DD-WRT-Router den VPN nutzen sollen.
Alle andern direkt angeschlossenen (an die FB) nicht.

Ergänzung (9. Januar 2015)

@Raijin
Ich hoffe ich bekomme das korrekt eingetragen - schaffe ich nur heute leider nicht mehr.
Werde am Montag ein Feedback geben.

danke und schönes WE

Ergänzung (9. Januar 2015)

Muss ich zwischen Datenverkehr und Website Aufrufen denn unterscheiden?
Die rohen Daten kann ich nicht prüfen nur sehe ich im Logfile noch die Namen der aufgerufenen Sites.

 

[Raijin]

Nö, beim verschlüsselten Datenverkehr siehste gar nix mehr, nur Quelle (DD-WRT-Router) und Ziel (Cyberghost-VPN-Server) der Datenpakete. Den Inhalt, also auch die Art des entsprechenden Dienstes (Webaufruf, NAS, FTP, Skype, etc.) siehst du nicht, das sind nur Bits und Bytes, keine URLs, kein gar nix.

Man kann über den VPN-Tunnel schließlich auch Dienste bzw. Ports nutzen, die ursprünglich vom zugrundeliegenden Netzwerk nicht zugelassen werden. Wird von der Fritzbox bzw. dem Internetgateway beispielsweise der FTP-Port in beide Richtungen blockiert, funktioniert er über den VPN-Tunnel wunderbar, weil das Internetgateway überhaupt nicht merkt, dass in dem verschlüsselten Datenpaket eine FTP-Verbindung versteckt ist.

 

[chris23az]

Vierter Link bei Google:

cyberghost router

(CyberGhost mit OpenVPN auf DD-WRT-geflashte Router
Veröffentlicht von Uli Brügmann am 25 April 2014 02:21 PM)

 

[Raijin]

[EDIT]
Mooooment.. Nu trifft es mich aber schlagartig! Kann es sein, dass du die DNS-Anfragen siehst? Wenn dein Laptop als DNS den DD-WRT drin hat, dieser wiederum die Fritzbox als DNS verwendet, dann bekommt die Fritzbox natürlich auch JEDE DNS-Anfrage 1:1 unverschlüsselt mit, ungeachtet des Datenverkehrs.

Es läuft ja so ab:

ping google.de
1) DNS? Gib mal die IP von google.de <-- evtl. direkt zur fritze weitergeleitet, unverschlüsselt
2) So, nu mach ich nen ping auf diese.google.ip <-- dieser ping wäre verschlüsselt, da "irgendwelche Daten" via VPN

Du musst also noch checken wie die DNS-Abfragen aufgelöst werden. Entweder du gibst dem DD-WRT-Router zB 8.8.8.8 (google-public-dns) als DNS oder aber du stellst das bei den PCs dahinter separat ein. In dem Falle würden die DNS-Abfragen wie jeder andere Datenverkehr auch getunnelt werden, die Fritze sieht also nur 010100100101010101111 ^^

Ergänzung (9. Januar 2015)

Vierter Link bei Google

Ist bei mir was anderes. Direkter Link oder nix

 

[timta]

Vielen Dank, die Anleitung nutze ich auch. Leider jedoch ohne Erfolg

 

[Raijin]

Wie gesagt, ein direkter Link wäre echt nett gewesen.. Für alle Mitleser: klick!

In der Anleitung ist auch die config mit dabei. Da steht was von redirect-gateway def1. Diese Anweisung sollte das Default Gateway selbstständig auf den VPN-Server umschalten. Evtl. könnte man das noch mit dhcp-option DNS 8.8.8.8 ergänzen, dann wird auch direkt der DNS auf 8.8.8.8 umgestellt und nicht nur das Gateway.

Am besten man schaut sich nun die Routing-Tabelle des Routers vor und nach dem VPN-Verbindungsaufbau an. Dazu per ssh auf der Kiste einloggen und mit route -n die Routing-Tabelle anzeigen lassen. Evtl. geht das sogar direkt in der GUI, das weiß ich nicht. Vorher sollte dort bis auf wenige Ausnahmen nur die Standard-Route 0.0.0.0 -> fritz.box drinstehen. Danach 0.0.0.0 -> vpn-ip-des-servers und wan-ip-des-server -> fritz.box

So, näheres, wenn diese Dinge erstmal geklärt sind (inkl. der DNS-Geschichte weiter oben ^^)