Internetzugang über Gastwlan

[shanti]

Hallo zusammen,

zur Zeit wird mein Internetzugang über ein von meinem Nachbarn bereitgestelltes Gastwlan seiner Fritzbox hergestellt.

Grundsätzlich habe ich kein allzu großes Mißtrauen meinem Nachbarn gegenüber, möchte jedoch wissen, ob es für meinen Nachbarn möglich ist, die von mir gesendeten Pakete bspw.
mittels Wireshark oder anderer Programme auszulesen.

Meine Webeitenaufrufe erfolgen auschließlich über https; zudem habe ich die Möglichkeit, Clientseitig - also auf meinemPC - einen Openvpnclienten über Port 443 auszuführen, also sozusagen openvpn über Port 443. Ein Clientseitiger Aufruf bspw. über myip.is bestätigt die Nutzung des openvpnclienten. By the way: Die Nutzung eines von meinem Nachbarn unabhängigen DNS-Service ( PiHole mit
Unbound in meinem Heimnetz ) ist möglich und die Auflösung der DNS-Anfragen mittels des eigenen DNS-Eintrages wird durch bspw. dnsleaktest.com bestätigt.

Ich möchte nun gerne wissen, ob mich die Nutzung des openvpnclienten über Port 443 sicher davor schützt, dass der Betreiber des Gastwlans meine gesendeten Daten auslesen kann. Also weder Inhalt der Pakete noch Metadaten, sprich: welche Seiten wann, wie oft...aufgerufen wurden.

Die einzelnen Hardwarekomponenten der Gesamtverbindung sehen so aus: Mein PC - Lanverbindung zu meinem Router ( OpenWRT )
Herstellung der Verbindung über Lankabel in WAN-Buchse meines Routers und in Lanbuchse des Nachbarn.
In der FB meines Nachbarn ist es möglich, den Gastwlanzugang an einen Lanport der FB zu binden. Geschwindigkeit gut...

Mein Heimnetz: Mein Router ( Gateway ) hat in meinem Heimnetz die IP 192.168.1.1; alle Clients in meinem Heimnetz entsprechend 192.168.1.xxx.

Meinem Router wird durch FB des Nachbarn die IP 192.168.179.1 zugewiesen, zudem existieren "Nachbarseitig" die weiteren Heimnetz-IP's 192.168.179.2 und 192.168.179.3 und 192.168.179.4.

Ein traceroute auf 192.168.179.3 zeigt:
traceroute 192.168.179.3
traceroute to 192.168.179.3 (192.168.179.3), 30 hops max, 60 byte packets
1 _gateway (192.168.1.1) 0.391 ms 0.658 ms 0.843 ms
2 192.168.179.2 (192.168.179.2) 3081.525 ms !H 3081.665 ms !H 3081.863 ms !H

Ein traceroute auf 192.168.179.4 zeigt:
traceroute 192.168.179.4
traceroute to 192.168.179.4 (192.168.179.4), 30 hops max, 60 byte packets
1 _gateway (192.168.1.1) 0.501 ms 0.641 ms 0.810 ms
2 192.168.179.2 (192.168.179.2) 3136.614 ms !H 3136.727 ms !H 3136.898 ms !H

Ein ping auf 192.168.179.2 ist erfolgreich, ein ping auf 192.168.179.3 und 192.168.179.4 nicht.


Was mich gewundert hatte: Ein arp-a in meinem Open-WRT-Router zeigt mir bezogen auf die IP's 192.168.179.xxx folgendes an:

192.168.179.3 0x1 0x0 00:00:00:00:00:00 * eth0.2
192.168.179.4 0x1 0x0 00:00:00:00:00:00 * eth0.2
Kein Eintrag im ARP-Cache bezogen auf 192.168.179.2

Ich hoffe, dass meine Darstellung nicht zu verwirrend ist, noch dass die "Gesamtkonzeption" fragil ist.


To be safe or not to be, this is my question.

Ich würde mich über Anregungen, Meinungen und umsetzbare Tips sehr freuen.

Danke Shanti

 

[Barungar]

Grundsätzlich habe ich kein allzu großes Mißtrauen meinem Nachbarn gegenüber, möchte jedoch wissen, ob es für meinen Nachbarn möglich ist, die von mir gesendeten Pakete bspw. mittels Wireshark oder anderer Programme auszulesen.

Grundsätzlich, ja! Da Dein Internet-Datenverkehr grundsätzlich durch das Netzwerk Deines Nachbarn geht, ist er zwangsläufig in der Mitte jeder Deiner Verbindungen, er kann diese also "mitlesen". Das Mitlesen wird eingeschränkt durch Verschlüsselungen, sie SSL, SSH oder TLS, usw. Aber die unverschlüsselten Paketmetadaten sowie die Zielhosts kann er mitlesen.

Ich möchte nun gerne wissen, ob mich die Nutzung des openvpnclienten über Port 443 sicher davor schützt, dass der Betreiber des Gastwlans meine gesendeten Daten auslesen kann. Also weder Inhalt der Pakete noch Metadaten, sprich: welche Seiten wann, wie oft...aufgerufen wurden.

Wenn Du in Deiner Konfiguration "sicherstellen" kannst, dass wirklich der ganze Datenverkehr durch den "openvpnclienten" geht, dann kann er nur noch die Metadaten der VPN-Verbindung erkennen. Also die IP und den Port des Ziel-VPN-Servers.

Meinem Router wird durch FB des Nachbarn die IP 192.168.179.1 zugewiesen, zudem existieren "Nachbarseitig" die weiteren Heimnetz-IP's 192.168.179.2 und 192.168.179.3 und 192.168.179.4.

Bist Du Dir sicher, dass Du die 192.168.179.1 hast? In einem "normalen" Fritz-Gastnetz ist das die IP, die die FritzBox (die das Netz aufspannt) für sich selbst verwendet. Das die 192.168.179.2 nicht im ARP-Cache Deines Routers auftaucht würde für mich eher dafür sprechen, dass Du selbst (also Dein Router) diese IP im 192.168.179.0/24 Netz erhalten hast.

Ein ping auf 192.168.179.2 ist erfolgreich, ein ping auf 192.168.179.3 und 192.168.179.4 nicht.

Auch dies in Kombination mit den beiden abgebildeten Traceroutes spricht (aus der Ferne) eher dafür, dass Du selbst die 192.168.179.2 bist. Du kannst Dich selbst anpingen (was logisch ist) und alle Traceroutes auf .3 und .4 enden an der .2 mit einem !H Hinweis. Der !H Hinweis bedeutet übrigens "Host unreachable". Was wieder dazu passt, dass Dein Router für die .3 und .4 keine MAC ermitteln konnte.

Ich gehe aus der Ferne davon aus, dass Du 192.168.179.2 bist und dei FritzBox Deines Nachbarn ist die 192.168.179.1, beide IPs solltest Du anpingen und tracerouten können.

 

[shanti]

Vielen Dank für deine ausführlichen Beschreibungen und ja, du hast recht, mein Router hat die 192.168.179.2.
Die 192.168.178.1 ist ja die IP des Wlan und die 192.168.178.2 die IP des Gastwlans in der Defaultkonfiguration der FB.

Wenn Du in Deiner Konfiguration "sicherstellen" kannst, dass wirklich der ganze Datenverkehr durch den "openvpnclienten" geht, dann kann er nur noch die Metadaten der VPN-Verbindung erkennen. Also die IP und den Port des Ziel-VPN-Servers.

Ich habe in meinem Debian ( MX Linux ) das Skript dnsleaktest.sh installiert. https://github.com/macvk/dnsleaktest
Wenn ich dieses Skript bei aktiviertem Openvpn443 ausführe ( benötigt root ,) erhalte ich folgende Aushabe im Terminal:

Your IP:51.75.145.20 [Germany AS16276 OVH SAS]

You use 8 DNS servers:
51.38.107.66 [Germany AS16276 OVH SAS]
51.38.107.70 [Germany AS16276 OVH SAS]
51.38.107.72 [Germany AS16276 OVH SAS]
51.38.107.74 [Germany AS16276 OVH SAS]
51.38.107.77 [Germany AS16276 OVH SAS]
51.38.107.79 [Germany AS16276 OVH SAS]
51.38.107.80 [Germany AS16276 OVH SAS]
2001:41d0:717:dd00::5 [Germany AS16276 OVH SAS]

Conclusion:
DNS is not leaking.

 

[the other]

Moinsen,

Die 192.168.178.1 ist ja die IP des Wlan und die 192.168.178.2 die IP des Gastwlans in der Defaultkonfiguration der FB

Ist das so?? Dann wäre ja Gast Netz und Heimnetz in EINEM Netz...kann also so nicht sein, oder?
Eigentlich sind die Bereiche ja sinnigerweise voneinander getrennt und somit unterschiedlich:
eigenes LAN/WLAN default mit 192.168.178.0/24 (kann angepasst werden)
Gast LAN/WLAN default mit 192.168.179.0/24 (idR nicht veränderbar)
Oder?

 

[Stationary]

Gast LAN/WLAN default mit 192.168.179.0/24 (idR nicht veränderbar)

Veränderbar, wenn Du das eigene Netz auf .179.0/24 legst. Dann bekommt das Gastnetz einen anderen Bereich. Zumindest ging das früher mal. Aber sonst ist der Werksstandard wie Du sagst .178.0/24 für das Hauptnetz und .179.0/24 für das Gastnetz.

 

[shanti]

Den Openvpnclient " vpnbook-de20-tcp443.ovpn " habe ich von der Seite https://www.vpnbook.com/ herunter geladen und unter den Netzwerkverbindungen händisch ( kein Import der .ovpn ) eingetragen.

Lasse ich mir bei aktiviertem OpenVpn443 mit Etherape im Terminal die Verbindugen anzeigen, erhalte ich folgende Ausgabe:

 

[shanti]

@the other
Sorry, hatte mich verschrieben. Es ist so, wie Statonary geschrieben hat:

Veränderbar, wenn Du das eigene Netz auf .179.0/24 legst. Dann bekommt das Gastnetz einen anderen Bereich. Zumindest ging das früher mal. Aber sonst ist der Werksstandard wie Du sagst .178.0/24 für das Hauptnetz und .179.0/24 für das Gastnetz.

 

[shanti]

@Stationary
Danke, so ist es.

 

[shanti]

Nun weiß ich leider immer noch nicht, ob meine Einstellungen bzgl. OpenVpn mir bei Nutzung über ein Gastwlan das so sichern, wie es Barungar geschrieben hat:

Wenn Du in Deiner Konfiguration "sicherstellen" kannst, dass wirklich der ganze Datenverkehr durch den "openvpnclienten" geht, dann kann er nur noch die Metadaten der VPN-Verbindung erkennen. Also die IP und den Port des Ziel-VPN-Servers.

Welche Möglichkeiten zur Feststellung, ob mein gesamter Datenverkehr durch den VPN-Clienten geht, gibt es noch?

 

[shanti]

Hier noch mal eine Ausgabe von "TcpView For Linux" bei aktiviertem OpenVpn443 direkt nach dem Start von TcpView.
Die gelisteten Einträge v. anycast.censurfridns.dk werden nur direkt nach Start v. TcpView angezeigt, der Eintrag von time0.sysn.co.uk erscheint in gewissen Abständen wieder.

 

[the other]

Moinsen,

Sorry, hatte mich verschrieben.

Kein Ding und ich hab das auch nicht geschrieben, um ein Sorry zu hören, sondern damit andere nicht völlig verwirrt werden...und nen Zahlendreher in IP Adressen schaffe ich auch immer wieder.
Also, alles rund...

Du könnetst das testen, indem du selber als MiM agierst (Man in the Middle) und zB mal den Verkehr (also DEINEN) mitschneidest, etwa per Raspi. Auf diesem läuft (kann ja dein Router ggf auch??) zB tcpdump als Anwendung, das schneidet dann alles (je nach Konfiguration) mit. Die Auswertung dann zB per Wireshark. Warum per Raspi? Wenn du solch ein Programm vom PC ausführst, dann wird idR auch immer nur ein TEIL des traffics erfasst, ein zentrales Gerät (analog einem Router) kann aber den GESAMTEN traffic mitschneiden.
Hier zum Einsteigen: https://www.heise.de/download/blog/Netzwerkanalyse-mit-Wireshark-3806147

 

[shanti]

@the other
Alright - tcpdump läuft auf meinem OpenWrt, Wireshark auf meinem MXLinux.
Könntest du mir evtl. ein paar Tips geben, welche Filter/Flags in tcpdump gesetzt werden sollten, damit man als Einsteiger einen guten Mittelweg zwischen notwendigen Information aber auch hinischtlich der Fülle der gedumpten Informationen einen Überblick gewinnt?

 

[blurrrr]

welche Filter/Flags

Das kommt wohl darauf an, was genau Du wissen möchtest...

EDIT: Schau mal hier rein, da gibt es ein paar Beispiele: https://www.redhat.com/sysadmin/filtering-tcpdump

 

[shanti]

Ich möchte genau wissen, ob, wie von Barungar beschrieben

Wenn Du in Deiner Konfiguration "sicherstellen" kannst, dass wirklich der ganze Datenverkehr durch den "openvpnclienten" geht, dann kann er nur noch die Metadaten der VPN-Verbindung erkennen. Also die IP und den Port des Ziel-VPN-Servers.

meine "OpenVPN443-Konfiguration" mich davor schützt, dass mein Nachbar mehr als die 'IP und den Port des Ziel-VPN-Servers' sehen kann.

 

[alex65]

Ich möchte genau wissen, ob, wie von Barungar beschrieben

meine "OpenVPN443-Konfiguration" mich davor schützt, dass mein Nachbar mehr als die 'IP und den Port des Ziel-VPN-Servers' sehen kann.

Also ich würde auch stark vermuten, dass das so ist. Die Daten werden zwischen VPN-Provider und Dir verschlüsselt. Sonst könnte ja auch Dein Internet-Provider immer den VPN-Datenstrom mitlesen. Der ist ja auch "man in the middle".

 

[shanti]

@alex65
Theoretisch sollte das so sein; aber ist es tatsächlich so...? Das ist ja mein Anliegen.

 

[alex65]

@alex65
Theoretisch sollte das so sein; aber ist es tatsächlich so...? Das ist ja mein Anliegen.

Wäre es anders, würden VPNs keinen Sinn machen. Mehr Sicherheit wirst Du wohl hier nicht kriegen -- es sei denn einer kann wirklich in die Details von OpenVPN gehen. -- Ich würde die Frage mal ChatGPT stellen. Dort gibt es oft überraschend fachkundige Antworten -- auf die Du natürlich auch nicht felsenfest vertrauen kannst.

 

[alex65]

Die Nutzung eines OpenVPN-Clients über Port 443 ist eine solide Maßnahme, um Ihre Daten zu schützen, insbesondere in einem Gast-WLAN, das von einem Nachbarn bereitgestellt wird. Hier sind einige Punkte, die Ihnen helfen können, die Sicherheit Ihrer Verbindung zu beurteilen:

### 1. **Sicherheit von OpenVPN und HTTPS**
- **OpenVPN**: OpenVPN verschlüsselt den Datenverkehr, was bedeutet, dass Ihre gesendeten Pakete für Ihren Nachbarn unlesbar sind. Das gilt sowohl für den Inhalt der Pakete als auch für die Metadaten (z.B. welche Webseiten Sie aufrufen).
- **HTTPS**: Wenn Sie nur HTTPS-Seiten besuchen, ist der Inhalt Ihrer Kommunikation zusätzlich durch TLS verschlüsselt. Auch hier kann niemand, der auf das Netzwerk zugreift, die übertragenen Daten einsehen.

### 2. **Metadaten und IP-Adressen**
- Auch wenn der Dateninhalt verschlüsselt ist, könnte Ihr Nachbar theoretisch sehen, dass Sie eine Verbindung zu einem bestimmten VPN-Server herstellen und möglicherweise den Datenverkehr zur IP-Adresse des VPN-Servers (also nicht zu den Seiten, die Sie besuchen) beobachten. Er würde jedoch nicht wissen, was genau Sie tun oder welche Webseiten Sie aufrufen.

### 3. **DNS-Anfragen**
- Die Verwendung eines eigenen DNS-Servers (wie PiHole mit Unbound) ist eine kluge Entscheidung, um zu verhindern, dass Ihr Nachbar sieht, welche Domains Sie aufrufen. Wenn Ihre DNS-Anfragen über Ihren eigenen Server laufen, kann Ihr Nachbar keine Informationen über die von Ihnen besuchten Webseiten erhalten.

### 4. **Traceroute und ARP-Cache**
- Ihre Traceroute-Tests zeigen, dass die Kommunikation zu bestimmten IP-Adressen fehlschlägt, was darauf hindeutet, dass entweder keine Verbindung zu diesen Adressen besteht oder dass die IP-Adressen möglicherweise nicht aktiv sind.
- Die Anzeige von `00:00:00:00:00:00` im ARP-Cache könnte darauf hindeuten, dass keine Geräte mit diesen IP-Adressen im Netzwerk kommunizieren. Dies könnte auch ein Hinweis auf ein Konfigurationsproblem oder eine falsche Netzwerkinfrastruktur sein.

### 5. **Zusätzliche Sicherheitstipps**
- **Firewall**: Stellen Sie sicher, dass Ihre Firewall auf dem Router und dem PC aktiviert ist, um unbefugten Zugriff zu verhindern.
- **VPN-Protokoll**: Überprüfen Sie, ob Sie die neuesten und sichersten Protokolle verwenden, um die Sicherheit weiter zu erhöhen.
- **Updates**: Halten Sie Ihren Router und alle Geräte auf dem neuesten Stand, um Sicherheitslücken zu schließen.
- **Anonymität**: Verwenden Sie zusätzliche Tools wie Tor, wenn Sie maximale Anonymität benötigen.

### Fazit
Insgesamt bietet die Kombination aus OpenVPN über Port 443 und der Nutzung eines eigenen DNS-Servers eine robuste Sicherheitslösung, die es Ihrem Nachbarn praktisch unmöglich macht, Ihre Online-Aktivitäten auszuspionieren. Dennoch ist es immer wichtig, wachsam zu sein und zusätzliche Sicherheitsmaßnahmen zu ergreifen, um potenzielle Risiken zu minimieren.

 

[shanti]

Die Antwort von Chatgpt?