Filtering Webseiten trotz VPN IPSec (FritzBox) WTF???

morumbinas

Enthusiast
Thread Starter
Mitglied seit
01.12.2007
Beiträge
403
Ich in der Arbeit haben wir WLAN für Endgeräte (Notebooks & Smartphones) zur Verfügung und manche Seiten werden gefilter bzw. blockert (Facebook, etc.). So schlau wie ich bin habe ich mir eine VPN Verbindung zu meiner FritzBox nach Hause eingerichtet (IPSec). Man könnte jetzt meinen, dass ich diese Filterung umgehe, da ja eine Ende zu Ende Verschlüsselung VPN bewirkt. Warum zum Teufel erkennt dann die Firewall in der Firma trotzdem das ich auf Facebook surfe??? Wird hier irgendein Request am Anfang nicht verschlüsselt gesendet?

Mache ich das ganze zB über VPN Provider wie NordVPN erkennt die Firewall in der Firma nichts und ich kann alle Seiten problemlos ansteuern.

Vielen Dank
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich rate mal einfach da man mit den Informationen eh keine Aussage treffen kann.
Entweder geht die DNS Auflösung am VPN vorbei oder vielleicht auch alles, kommt halt auf die Konfiguration an.
 
Ich rate mal einfach da man mit den Informationen eh keine Aussage treffen kann.
Entweder geht die DNS Auflösung am VPN vorbei oder vielleicht auch alles, kommt halt auf die Konfiguration an.

Ok... Ich bin nach dieser Anleitung vorgegangen: FRITZ!Box 7390 Wissensdatenbank | AVM Deutschland

An der Fritzbox habe ich nichts besonders konfiguriert, einfach nur den VPN User angelegt. Hier sind die VPN Einstellung der FritzBox (mehr gibt es nicht zum Einstellen):

Screenshot 2018-11-05 at 00.13.41.jpg
 
Zuletzt bearbeitet:
Das liegt daran, dass dein WAN Traffic und DNS nicht ueber deine Fritte geleitet werden.
Wie man das an dem Ding konfiguriert? Keine Ahnung.
 
Nicht immer während der Arbeit in Facebook surfen. Hat schon seine Berechtigung der Filter. :bigok:
 
Das liegt daran, dass dein WAN Traffic und DNS nicht ueber deine Fritte geleitet werden.
Wie man das an dem Ding konfiguriert? Keine Ahnung.

Ok super dank! Muss aber sagen das ich echt enttäuscht gegenüber AVM bzw. der FritzBox bin. Ich denke man hätte zumindest einen Hinweis geben sollen, dass nicht der gesame Traffic über den Tunnel läuft. Trügerische Sicherheit und Anonymität!
 
Das muss nicht an der Fritte liegen..
Verwendest du ein Endgeraet, welches von der Firma verwaltet wird?
 
Und an deinem VPN Client liegen genug rechte an um die noetigen Routen zu legen, damit alles durch den Tunnel geht ?
 
Bei meinen Geräten geht es beim FritzVPN alles durch den Tunnel - logischer Weise die ersten DNS-Pakete nicht, da er dafür ja erst den Tunnel aufbauen muss und den Namen auslösen muss.
Aller wahrscheinlichkeit nach, geht also der DNS nicht durch den Tunnel in deinem Fall. Prüf mal mit wieistmeineip.de oder dergleichen ob sich deine IP im Web ändert.
 
Hex, was soll das bringen?

Was meinst du, passiert mit den Paketen für/von "wieistmeineIP", wenn der DNS die IP von "wieistmeineIP" über die nicht getunnelte Verbindung rausgerückt hat?

Außerdem:
Nur weil man dort eine andere IP angezeigt bekommt, bedeutet das nicht, dass auch der gesamte Traffic über den selben Weg geht.
 
Naja man kann es schonmal als ersten Indikator sehen, ob überhaupt Traffic über die Route geht oder wirklich nur das interne Netz durch den VPN Tunnel geht.

Alternativ eben am ausgehenden Interface der Fritz sniffen http://fritz.box/html/capture.html ob und wenn ja welcher Traffic da rauskommt.
Bin mir gerade nicht sicher ob am tunl0 nich sogar die Option besteht den einkommenden Traffic des Clients zu analysieren oder ob man da nur den Tunnel drauf sieht.
 
Zuletzt bearbeitet:
Vergiss die Spielerei mit der FritzBox.
Habt Ihr in der Firma eine Firewall? Sicherlich. Dann richte dir mit den Firewall-eigenen Funktionen einen VPN Portal ein. Bei Fortigate nennt man das so. Dann meldest du dich von überall aus vom Internet auf einem bestimmten Server (Landing Server, dein Laptop etc) in deiner Firma an und kommst von daraus auf entsprechend freigegebene Ziele. Token noch aktivieren und fertig. Die Fritzbox ist im Gegensatz dazu ein Spielzeug. Ihr braucht aber eine NextGen Firewall. Wir haben eine Fortigate, aber auch andere Hersteller bieten ähnliches an
 
Ok super dank! Muss aber sagen das ich echt enttäuscht gegenüber AVM bzw. der FritzBox bin. Ich denke man hätte zumindest einen Hinweis geben sollen, dass nicht der gesame Traffic über den Tunnel läuft. Trügerische Sicherheit und Anonymität!

Ein VPN hat grundsätzlich erst mal nichts mit Sicherheit oder Anonymität zu tun. Der FritzBox VPN-Zugang ist einfach nur ein Zugang zum internen Netz von außerhalb, für Fernwartungen und ähnliches.
 
Vergiss die Spielerei mit der FritzBox.
Habt Ihr in der Firma eine Firewall? Sicherlich. Dann richte dir mit den Firewall-eigenen Funktionen einen VPN Portal ein. Bei Fortigate nennt man das so. Dann meldest du dich von überall aus vom Internet auf einem bestimmten Server (Landing Server, dein Laptop etc) in deiner Firma an und kommst von daraus auf entsprechend freigegebene Ziele. Token noch aktivieren und fertig. Die Fritzbox ist im Gegensatz dazu ein Spielzeug. Ihr braucht aber eine NextGen Firewall. Wir haben eine Fortigate, aber auch andere Hersteller bieten ähnliches an
Genau diese Filter will er doch umgehen - vermute also er ist User und kein Admin der Zugriff auf soetwas hätte.
 
Und genau deshalb wird das auch nicht funktionieren, wenn die Admins in dem Netz auf Zack sind. Warum sollte eine Firma einen "privaten" VPN-Tunnel aus ihrem eigenen Netz zulassen, was hätte sie daran für ein Interesse? Da gehen Scheunentore auf, die ein Admin hinterher gar nicht mehr flicken kann.
 
Er kann den Tunnel ja offensichtlich aufbauen. Daher klemmts aller Warscheinlichkeit (technische Infos vom TE sind sehr duerftig) nach an den Routen auf seinem Endgeraet oder dem verwendetem DNS.
 
Und genau deshalb wird das auch nicht funktionieren, wenn die Admins in dem Netz auf Zack sind. Warum sollte eine Firma einen "privaten" VPN-Tunnel aus ihrem eigenen Netz zulassen, was hätte sie daran für ein Interesse? Da gehen Scheunentore auf, die ein Admin hinterher gar nicht mehr flicken kann.
Da geht gar nichts auf. Das sind Dinge, auf die kein Admin dieser Welt Einfluss hat, es sei denn, man macht Deep Packet Inspection und filter Pakete mit VPN-Header aus. Da bekommt der Admin dann aber ganz schnell datenschutzrechtliche Probleme.
 
Ich meine damit, dass durch einen privaten VPN-Tunnel ungefiltert Pakete IN das Netzwerk einer Firma kommen können. Das kann wohl nicht im Interesse einer IT oder eines Arbeitgebers sein. Deswegen wird man als Admin doch versuchen alles zu unterbinden, was einen Nutzer aus dem Netzwerk heraus einen privaten Tunnel aufbauen lässt. Wenn es sich um ein Gastnetzwerk handelt, das keine Verbindung zum Produktivnetzwerk der Firma hat, ist das ein ganz anderes Thema...
 
Zuletzt bearbeitet:
Ich meine damit, dass durch einen privaten VPN-Tunnel ungefiltert Pakete IN das Netzwerk einer Firma kommen können.
Ja, ist mir klar.
Das kann wohl nicht im Interesse einer IT oder eines Arbeitgebers sein.
Ja, auch klar.
Deswegen wird man als Admin doch versuchen alles zu unterbinden, was einen Nutzer aus dem Netzwerk heraus einen privaten Tunnel aufbauen lässt.
Ja, und da hat er eben außer Deep Packet Inspection kaum eine Chance.
Wenn es sich um ein Gastnetzwerk handelt, das keine Verbindung zum Produktivnetzwerk der Firma hat, ist das ein ganz anderes Thema...
Gastnetze zu filtern ist unnützer Unfug.
 
Ich arbeite in einem hochsicherheits Unternehmen :)

Geht primär darum, dass ich im angebotenen WLAN (ist auch für externe Kunden) anonym surfen kann und die admins nicht sehe, was ich mache. Groß Zugriff hat man von diesem WLAN ohnehin nicht aufs Netzwerk von der Firma, dass ist generell nur fürs Standarsurfen gedacht.
 
Gilt zwar je nachdem, was das für ein "hochsicherheits Unternehmen" ist, aber wenn die Admins dort die Zeit haben, das Surf-Verhalten im Gäste-WLAN zu beobachten, dann würde ich mich schleunigst nach einem anderen AG umschauen, denn dann ist dort ganz was anderes im Argen...
Das meine ich vollkommen ernst, ich habe noch nie gehört, dass eine Firma Zeit und Energie und Manpower aufwendet, um zu schauen, was in einem Gäste-WLAN passiert - zumal das illegal wäre, wenn das nicht angekündigt ist, und einer Firma richtig wehtun kann, wenn das raus kommt.
 
Ist denn dein VPN Tunnel so konfiguriert, daß auf deinem Cleint das Remote Gateway genutzt werden soll?
Nur dann wird der gesamte Netzwerverkehr über das VPN geleitet, ansonsten gehen nur der Traffic für das Remote Netzwerk über das VPN.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh