Internetzugang über Gastwlan

S

shanti

New member
Hallo zusammen,

zur Zeit wird mein Internetzugang über ein von meinem Nachbarn bereitgestelltes Gastwlan seiner Fritzbox hergestellt.

Grundsätzlich habe ich kein allzu großes Mißtrauen meinem Nachbarn gegenüber, möchte jedoch wissen, ob es für meinen Nachbarn möglich ist, die von mir gesendeten Pakete bspw.
mittels Wireshark oder anderer Programme auszulesen.

Meine Webeitenaufrufe erfolgen auschließlich über https; zudem habe ich die Möglichkeit, Clientseitig - also auf meinemPC - einen Openvpnclienten über Port 443 auszuführen, also sozusagen openvpn über Port 443. Ein Clientseitiger Aufruf bspw. über myip.is bestätigt die Nutzung des openvpnclienten. By the way: Die Nutzung eines von meinem Nachbarn unabhängigen DNS-Service ( PiHole mit
Unbound in meinem Heimnetz ) ist möglich und die Auflösung der DNS-Anfragen mittels des eigenen DNS-Eintrages wird durch bspw. dnsleaktest.com bestätigt.

Ich möchte nun gerne wissen, ob mich die Nutzung des openvpnclienten über Port 443 sicher davor schützt, dass der Betreiber des Gastwlans meine gesendeten Daten auslesen kann. Also weder Inhalt der Pakete noch Metadaten, sprich: welche Seiten wann, wie oft...aufgerufen wurden.

Die einzelnen Hardwarekomponenten der Gesamtverbindung sehen so aus: Mein PC - Lanverbindung zu meinem Router ( OpenWRT )
Herstellung der Verbindung über Lankabel in WAN-Buchse meines Routers und in Lanbuchse des Nachbarn.
In der FB meines Nachbarn ist es möglich, den Gastwlanzugang an einen Lanport der FB zu binden. Geschwindigkeit gut...

Mein Heimnetz: Mein Router ( Gateway ) hat in meinem Heimnetz die IP 192.168.1.1; alle Clients in meinem Heimnetz entsprechend 192.168.1.xxx.

Meinem Router wird durch FB des Nachbarn die IP 192.168.179.1 zugewiesen, zudem existieren "Nachbarseitig" die weiteren Heimnetz-IP's 192.168.179.2 und 192.168.179.3 und 192.168.179.4.

Ein traceroute auf 192.168.179.3 zeigt:
traceroute 192.168.179.3
traceroute to 192.168.179.3 (192.168.179.3), 30 hops max, 60 byte packets
1 _gateway (192.168.1.1) 0.391 ms 0.658 ms 0.843 ms
2 192.168.179.2 (192.168.179.2) 3081.525 ms !H 3081.665 ms !H 3081.863 ms !H

Ein traceroute auf 192.168.179.4 zeigt:
traceroute 192.168.179.4
traceroute to 192.168.179.4 (192.168.179.4), 30 hops max, 60 byte packets
1 _gateway (192.168.1.1) 0.501 ms 0.641 ms 0.810 ms
2 192.168.179.2 (192.168.179.2) 3136.614 ms !H 3136.727 ms !H 3136.898 ms !H

Ein ping auf 192.168.179.2 ist erfolgreich, ein ping auf 192.168.179.3 und 192.168.179.4 nicht.


Was mich gewundert hatte: Ein arp-a in meinem Open-WRT-Router zeigt mir bezogen auf die IP's 192.168.179.xxx folgendes an:

192.168.179.3 0x1 0x0 00:00:00:00:00:00 * eth0.2
192.168.179.4 0x1 0x0 00:00:00:00:00:00 * eth0.2
Kein Eintrag im ARP-Cache bezogen auf 192.168.179.2

Ich hoffe, dass meine Darstellung nicht zu verwirrend ist, noch dass die "Gesamtkonzeption" fragil ist.


To be safe or not to be, this is my question.

Ich würde mich über Anregungen, Meinungen und umsetzbare Tips sehr freuen.

Danke Shanti
 
shanti schrieb:
Grundsätzlich habe ich kein allzu großes Mißtrauen meinem Nachbarn gegenüber, möchte jedoch wissen, ob es für meinen Nachbarn möglich ist, die von mir gesendeten Pakete bspw. mittels Wireshark oder anderer Programme auszulesen.
Zum Vergrößern anklicken....

Grundsätzlich, ja! Da Dein Internet-Datenverkehr grundsätzlich durch das Netzwerk Deines Nachbarn geht, ist er zwangsläufig in der Mitte jeder Deiner Verbindungen, er kann diese also "mitlesen". Das Mitlesen wird eingeschränkt durch Verschlüsselungen, sie SSL, SSH oder TLS, usw. Aber die unverschlüsselten Paketmetadaten sowie die Zielhosts kann er mitlesen.


shanti schrieb:
Ich möchte nun gerne wissen, ob mich die Nutzung des openvpnclienten über Port 443 sicher davor schützt, dass der Betreiber des Gastwlans meine gesendeten Daten auslesen kann. Also weder Inhalt der Pakete noch Metadaten, sprich: welche Seiten wann, wie oft...aufgerufen wurden.
Zum Vergrößern anklicken....
Wenn Du in Deiner Konfiguration "sicherstellen" kannst, dass wirklich der ganze Datenverkehr durch den "openvpnclienten" geht, dann kann er nur noch die Metadaten der VPN-Verbindung erkennen. Also die IP und den Port des Ziel-VPN-Servers.


shanti schrieb:
Meinem Router wird durch FB des Nachbarn die IP 192.168.179.1 zugewiesen, zudem existieren "Nachbarseitig" die weiteren Heimnetz-IP's 192.168.179.2 und 192.168.179.3 und 192.168.179.4.
Zum Vergrößern anklicken....

Bist Du Dir sicher, dass Du die 192.168.179.1 hast? In einem "normalen" Fritz-Gastnetz ist das die IP, die die FritzBox (die das Netz aufspannt) für sich selbst verwendet. Das die 192.168.179.2 nicht im ARP-Cache Deines Routers auftaucht würde für mich eher dafür sprechen, dass Du selbst (also Dein Router) diese IP im 192.168.179.0/24 Netz erhalten hast.


shanti schrieb:
Ein ping auf 192.168.179.2 ist erfolgreich, ein ping auf 192.168.179.3 und 192.168.179.4 nicht.
Zum Vergrößern anklicken....
Auch dies in Kombination mit den beiden abgebildeten Traceroutes spricht (aus der Ferne) eher dafür, dass Du selbst die 192.168.179.2 bist. Du kannst Dich selbst anpingen (was logisch ist) und alle Traceroutes auf .3 und .4 enden an der .2 mit einem !H Hinweis. Der !H Hinweis bedeutet übrigens "Host unreachable". Was wieder dazu passt, dass Dein Router für die .3 und .4 keine MAC ermitteln konnte.

Ich gehe aus der Ferne davon aus, dass Du 192.168.179.2 bist und dei FritzBox Deines Nachbarn ist die 192.168.179.1, beide IPs solltest Du anpingen und tracerouten können.
 
Vielen Dank für deine ausführlichen Beschreibungen und ja, du hast recht, mein Router hat die 192.168.179.2.
Die 192.168.178.1 ist ja die IP des Wlan und die 192.168.178.2 die IP des Gastwlans in der Defaultkonfiguration der FB.

Wenn Du in Deiner Konfiguration "sicherstellen" kannst, dass wirklich der ganze Datenverkehr durch den "openvpnclienten" geht, dann kann er nur noch die Metadaten der VPN-Verbindung erkennen. Also die IP und den Port des Ziel-VPN-Servers.
Zum Vergrößern anklicken....

Ich habe in meinem Debian ( MX Linux ) das Skript dnsleaktest.sh installiert. https://github.com/macvk/dnsleaktest
Wenn ich dieses Skript bei aktiviertem Openvpn443 ausführe ( benötigt root ,) erhalte ich folgende Aushabe im Terminal:

Your IP:51.75.145.20 [Germany AS16276 OVH SAS]

You use 8 DNS servers:
51.38.107.66 [Germany AS16276 OVH SAS]
51.38.107.70 [Germany AS16276 OVH SAS]
51.38.107.72 [Germany AS16276 OVH SAS]
51.38.107.74 [Germany AS16276 OVH SAS]
51.38.107.77 [Germany AS16276 OVH SAS]
51.38.107.79 [Germany AS16276 OVH SAS]
51.38.107.80 [Germany AS16276 OVH SAS]
2001:41d0:717:dd00::5 [Germany AS16276 OVH SAS]

Conclusion:
DNS is not leaking.
 
Moinsen,
shanti schrieb:
Die 192.168.178.1 ist ja die IP des Wlan und die 192.168.178.2 die IP des Gastwlans in der Defaultkonfiguration der FB
Zum Vergrößern anklicken....
Ist das so?? Dann wäre ja Gast Netz und Heimnetz in EINEM Netz...kann also so nicht sein, oder? ;)
Eigentlich sind die Bereiche ja sinnigerweise voneinander getrennt und somit unterschiedlich:
eigenes LAN/WLAN default mit 192.168.178.0/24 (kann angepasst werden)
Gast LAN/WLAN default mit 192.168.179.0/24 (idR nicht veränderbar)
Oder? ;)
 
the other schrieb:
Gast LAN/WLAN default mit 192.168.179.0/24 (idR nicht veränderbar)
Zum Vergrößern anklicken....
Veränderbar, wenn Du das eigene Netz auf .179.0/24 legst. Dann bekommt das Gastnetz einen anderen Bereich. Zumindest ging das früher mal. Aber sonst ist der Werksstandard wie Du sagst .178.0/24 für das Hauptnetz und .179.0/24 für das Gastnetz.
 
Den Openvpnclient " vpnbook-de20-tcp443.ovpn " habe ich von der Seite https://www.vpnbook.com/ herunter geladen und unter den Netzwerkverbindungen händisch ( kein Import der .ovpn ) eingetragen.

Lasse ich mir bei aktiviertem OpenVpn443 mit Etherape im Terminal die Verbindugen anzeigen, erhalte ich folgende Ausgabe:
 

Anhänge

  • Anzeige der Verbindungen durch Etherape bei aktiviertem OpenVPN443.png
    Anzeige der Verbindungen durch Etherape bei aktiviertem OpenVPN443.png
    17,4 KB · Aufrufe: 0
@the other
Sorry, hatte mich verschrieben. Es ist so, wie Statonary geschrieben hat:
Veränderbar, wenn Du das eigene Netz auf .179.0/24 legst. Dann bekommt das Gastnetz einen anderen Bereich. Zumindest ging das früher mal. Aber sonst ist der Werksstandard wie Du sagst .178.0/24 für das Hauptnetz und .179.0/24 für das Gastnetz.
Zum Vergrößern anklicken....
 
Nun weiß ich leider immer noch nicht, ob meine Einstellungen bzgl. OpenVpn mir bei Nutzung über ein Gastwlan das so sichern, wie es Barungar geschrieben hat:
Wenn Du in Deiner Konfiguration "sicherstellen" kannst, dass wirklich der ganze Datenverkehr durch den "openvpnclienten" geht, dann kann er nur noch die Metadaten der VPN-Verbindung erkennen. Also die IP und den Port des Ziel-VPN-Servers.
Zum Vergrößern anklicken....
Welche Möglichkeiten zur Feststellung, ob mein gesamter Datenverkehr durch den VPN-Clienten geht, gibt es noch?
 
Hier noch mal eine Ausgabe von "TcpView For Linux" bei aktiviertem OpenVpn443 direkt nach dem Start von TcpView.
Die gelisteten Einträge v. anycast.censurfridns.dk werden nur direkt nach Start v. TcpView angezeigt, der Eintrag von time0.sysn.co.uk erscheint in gewissen Abständen wieder.
 

Anhänge

  • Ausgabe TcpView For Linux bei aktiviertem OpenVpn443.png
    Ausgabe TcpView For Linux bei aktiviertem OpenVpn443.png
    344,9 KB · Aufrufe: 0
Moinsen,
shanti schrieb:
Sorry, hatte mich verschrieben.
Zum Vergrößern anklicken....
Kein Ding und ich hab das auch nicht geschrieben, um ein Sorry zu hören, sondern damit andere nicht völlig verwirrt werden...und nen Zahlendreher in IP Adressen schaffe ich auch immer wieder.
Also, alles rund... :)

Du könnetst das testen, indem du selber als MiM agierst (Man in the Middle) und zB mal den Verkehr (also DEINEN) mitschneidest, etwa per Raspi. Auf diesem läuft (kann ja dein Router ggf auch??) zB tcpdump als Anwendung, das schneidet dann alles (je nach Konfiguration) mit. Die Auswertung dann zB per Wireshark. Warum per Raspi? Wenn du solch ein Programm vom PC ausführst, dann wird idR auch immer nur ein TEIL des traffics erfasst, ein zentrales Gerät (analog einem Router) kann aber den GESAMTEN traffic mitschneiden.
Hier zum Einsteigen: https://www.heise.de/download/blog/Netzwerkanalyse-mit-Wireshark-3806147
;)
 
@the other
Alright - tcpdump läuft auf meinem OpenWrt, Wireshark auf meinem MXLinux.
Könntest du mir evtl. ein paar Tips geben, welche Filter/Flags in tcpdump gesetzt werden sollten, damit man als Einsteiger einen guten Mittelweg zwischen notwendigen Information aber auch hinischtlich der Fülle der gedumpten Informationen einen Überblick gewinnt?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 139 (Mitglieder: 5, Gäste: 134)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.371
Beiträge
53.236
Mitglieder
5.157
Neuestes Mitglied
Swimmer71

Teilen

Zurück
Oben