Wireguard teilt Endpunkt/Geolocation

[Rwlearn]

Hallo,
Ich hoffe, einer der Gurus kann mir helfen.

Das ist meine Verbindung:
Wohnung in München (Asus RT-AX86 Router als WireGuard Client) -> INTERNET -> Wohnung in Bonn (eigene Fritzbox 6591 als Wireguard Server) -> INTERNET -> Zscaler Data Center.

Ohne Verbindung zu Zscaler zeigen, meine public IP-Adresse und mein Standort laut whatismyipaddress.com an, dass ich in der Nähe von Bonn bin. Das stimmt. Wenn ich mich jedoch auch mit Zscaler verbinde, kann Zscaler irgendwie einige Informationen zu meinem ursprünglichen Standort sehen und mich dann mit einem Zscaler-Server in München verbinden, nicht mit einem Zscaler-Server in der Nähe von Bonn.

1. Welche Informationen teilt die Fritzbox mit, die Zscaler über meinen ursprünglichen Standort informieren? Warum werden diese Informationen nicht ausgeblendet?
2. Welche Asus/Fritzbox Wireguard-Einstellungen sollte ich eventuell ändern, um eine Verbindung zu einem Zscaler-Server in der Nähe von Bonn herstellen zu können?

Vielen dank

 

[blurrrr]

1. Welche Informationen teilt die Fritzbox mit, die Zscaler über meinen ursprünglichen Standort informieren?

Hi,

das einzige Option wäre die öffentliche IP mit welcher Du irgendwo aufschlägst. Dazu sind bei der RIPE entsprechende Informationen hinterlegt.

2. Welche Asus/Fritzbox Wireguard-Einstellungen sollte ich eventuell ändern, um eine Verbindung zu einem Zscaler-Server in der Nähe von Bonn herstellen zu können?

Kommt darauf an, wie Du Deine VPN-Strecken definiert hast. Geht von München nach Bonn "alles" durch den Tunnel, sollte es sich nach extern auch so darstellen, als wärst Du in Bonn.

Schau Dir einfach mal via "traceroute" (Windows "tracert") in der Eingabeaufforderung die Strecke an, welche die Pakete nehmen... Vielleicht einmal generell ins Internet (z.B. zu Google) und einmal zum ZScaler-Einwahlpunkt, dann siehst Du die Strecken und siehst auch direkt, wo etwas falsch abbiegt

 

[Rwlearn]

Hallo,

laut https://ipleak.net/ meine public IP-Adresse, meine DNS-Adresse (ich verwende DoT mit einem Bonner Server) und meine Geolokalisierung ist in der Nähe von Bonn. Tracert zeigt nur die IP-Adresse meines Routers in München an und dann direkt die Endstation (z. B. google.de), dazwischen gibt es keine Informationen.
Woher weiß Zscaler dann, dass ich mich im Raum München befinde und verbindet mich daher mit dem Münchner Rechenzentrum?
Was muss ich im Router noch konfigurieren?
Danke

 

[blurrrr]

meine public IP-Adresse, meine DNS-Adresse (ich verwende DoT mit einem Bonner Server) und meine Geolokalisierung ist in der Nähe von Bonn.

Nutzt Du zufällig DualStack (IPv4+IPv6)?

zeigt nur die IP-Adresse meines Routers in München an und dann direkt die Endstation (z. B. google.de), dazwischen gibt es keine Informationen.

Das ist allerdings etwas sehr merkwürdig (egal in welche Richtung). Geht es durch Deinen anderen Anschluss (Bonn) müsste dieser auch zu sehen sein (interne IP), geht es direkt raus, müsste dort auch noch etwas zu sehen sein. Die Gegenstellen vor 8.8.8.8 reagieren normalerweise auf ICMP-Pakete, sieht hier z.B. so aus:

...
7 18 ms 18 ms 17 ms 74.125.32.52
8 20 ms 19 ms 18 ms 108.170.235.151
9 19 ms 18 ms 18 ms 142.250.234.17
10 20 ms 18 ms 18 ms dns.google [8.8.8.8]

Ausser natürlich, dass die Verbindung komplett durch alle VPN-Tunnel wandert und die Firewall am Ende alles wegschmeisst, ausser die ICMP-Pakete bzgl. Google (ggf. zwecks Test der Erreichbarkeit der Google-DNS-Server), dann gäbe es auch nur für diese eine entsprechend positive Antwort zurück.

Kannst Dir natürlich auch mal die Routing-Tabelle anschauen via route print, da sollte anhand der Default-Route ("0.0.0.0/0" bzw. "::/0") auch ersichtlich werden, wohin die Pakete standardmässig geschickt werden, sofern keine anderweitige Route hinterlegt ist.

 

[Rwlearn]

Ja, ich nutze DualStack (IPv4+IPv6) mit Fritzbox.

Das is mein trace:

 

[blurrrr]

Sieht schon dezent merkwürdig aus der Traceroute zu Google und sollte so auch nicht aussehen (s. meinen Auszug). Der erste Hop sollte Dein lokaler Router sein (ist es ja anscheinend auch), wenn alles durch den VPN-Tunnel gehen soll, müsste der 2. Hop die interne IP des Routers in Bonn zeigen, da steht aber schon nur noch Mist.... Irgendwas im Asus-Router aktiviert, was so ein Verhalten auslösen könnte? Eventuell hast Du auch die Möglichkeit, mal einen Traceroute vom Asus-Router laufen zu lassen?