Täglicher Restart der OpenVPN-Clients nötig
-
@jegr said in Täglicher Restart der OpenVPN-Clients nötig:
@dogfight76 OK die .3 ist dann die Sense und du schickst das ganze /26er Subnetz via Failover Gateway raus. So weit so gut.
Aber: hast du auch Outbound NAT Regeln, die darauf matchen?
Guten morgen,
ja genau, die 192.168.178.3 ist der PC wo pfSense drauf läuft.
Outbound habe ich und sehen so aus:
Ist da etwas falsch ?
-
@jegr said in Täglicher Restart der OpenVPN-Clients nötig:
@dogfight76 OK die .3 ist dann die Sense und du schickst das ganze /26er Subnetz via Failover Gateway raus. So weit so gut.
Aber: hast du auch Outbound NAT Regeln, die darauf matchen?
Hallo,
magst du dir das nochmal ansehen ?
Oder jeder andere wenn ihm etwas auffällt, danke.
Gruß
-
@dogfight76 @dogfight76 Sieht zumindest nicht verkehrt aus. Ich wollte nur sicherstellen, dass es auch NAT Regeln gibt, die den Verkehr rauslassen für den Fall eines Gateway Switches.
Die Frage ist auch WAS genau down war. Du sagst Tier1 GW war down. Heißt ja aber noch nicht, dass NUR das T1 GW down war, es kann auch sein, dass dein ganzes Internet kurz weg war, aber durch Timing Unterschiede eben erst das T1 GW weg war und die anderen "noch" erreichbar (weil die noch nicht auf down gesetzt wurden.
Ohne Logs und sonstiges kann man da nur raten. Zumal du die Remote GWs alle "zensiert" hast was unnötig ist. 10.xer Adressen auszugrauen ist quatsch, die kann eh keiner erreichen. Und da ich in der Übersicht aber mehrere VPNs sehe, die theoretisch alle im gleichen Subnetz liegen je nachdem was NordVPN als GW zurückliefert, wäre es kein Wunder, wenn eines down geht und dann mehrere wegreißt weil das Routing so nicht klappt.
-
@jegr
Danke schonmal.Ok, die Remote-GW haben alle unterschiedliche 10.xer Adressen:
Es war zum Beispiel das Tier3 GW down (roter Pfeil nach unten) und ich kam nicht mehr ins Internet. Obwohl ich dachte das dann ein anderes GW in der GW-Group das dann übernimmt.
Erst wenn ich das GW welches down war manuell neu gestartet habe konnte ich wieder ins Internet.
Gruß
-
@dogfight76 Das kann ich so von der Beschreibung her eben leider kaum nachvollziehen. Das wäre schon schöner, wenn man zu dem Zeitpunkt dann mal Screenshots bzw. Logs/Einsicht in alle entsprechenden Komponenten hat.
Wenn T3 down ist, T1 oder T2 aber noch da, sollte das überhaupt keinen Impact haben, weil es nicht genutzt wird. Hängt dann aber auch davon ab, wie die GW Gruppe konfiguriert ist etc.
Außerdem was als Default GW eingetragen ist und wie bspw. DNS realisiert wird. "Es geht kein Internet", könnte dann auch schlicht sein, dass dann dein DNS nicht mehr funktioniert hat. Da du als GW Monitors für alle Verbindungen wild alle möglichen DNSe eingetragen hast, geht der dann in dem Fall einfach mit down. Daher müsste man dann auch die DNS Settings in System/General und den DNS Resolver mal anschauen, wie das alles konfiguriert ist.
Da greift sonst einfach zu viel ineinander.Zumal ich mich jetzt wundere warum du überall DNSe eingetragen hast. Wenn doch alle Gateways hier vorgeblich andere IPs sind und sich nicht überschneiden müsste das doch auch ohne gehen? Und wie sieht die Routing Tabelle damit aus? Ziehst du Routen oder ignorierst du die alle?
-
@jegr
Ok, die letzten Tage passierte es nicht. Aber ich kann ja trotzdem soweit alles zeigen:Routing und "default GW"
Sollte bei "default GW IPV4" die Gateway-Gruppe ausgewählt werden ?
Und hier die DNS-Resolver Einstellungen:
Gibt es da Verbesserung bedarf ?
Und wie meinst du das mit "müsste ohne DNS-Einstellungen laufen" ??Gruß
-
@dogfight76 Urks. Also
-
Default Gateways: Stell die nicht auf Automatik, sondern auf das Default GW über das die FW raus soll. Wahrscheinlich WAN_DHCP nehme ich an, dito mit dem IPv6. Das auf eine GW Gruppe zustellen, die über VPN rausgeht wäre quatsch, denn wenn die VPNs down sind geht deine komplette Kiste nicht mehr. Macht wenig Sinn.
-
Der Resolver resolved nicht sondern forwarded. Warum? Und wohin? Was ist dazu bei System / General eingetragen? Und warum wurde dann DNSSEC abgeschaltet?
-
DHCP leases im Resolver registrieren: Nope. Das sollte aus. Das heißt sonst bei jedem Client, der sich per DHCP nen Lease holt wird jedes Mal der DNS durchgedübelt und neu gestartet. Doof. Static DHCP Leases sind OK denn die werden beim Start eingelesen oder wenn eines verändert wird. Macht man normalerweise nicht so oft.
Und wie meinst du das mit "müsste ohne DNS-Einstellungen laufen" ??
Wo hab ich was gesagt? Verstehe ich gerade nicht?
-
-
Hallo,
habe mal versucht deine Hinweise umzusetzen:
Zu Punkt 2. finde ich nichts unter "General" was ich auf deinen Punkt beziehen kann. Was meinst du:
So sollte ich jetzt dann anonym über VPN im Internet unterwegs sein, korrekt ??
-
Warum nutzt du überhaupt den DNS Forwarding Mode?
Hat es mit dem Resolver inkl. Cache und Prefetch nicht geklappt?Warum trägst du selber DNS Server ein, lässt diese aber dann wiederum vom WAN Int überschreiben?
Zum Thema Anonym im Netz.
Der VPN Anbieter weiß jetzt was du machst, Cloudflare auch, dafür dein Provider nicht mehr.Damit du wirklich unerkannt unterwegs bist, musst du auch alle Anfragen die raus gehen mit Zufallsdaten auffüllen, sonst kann man dich anhand der Paketgröße schon mal verflogen.
Netgate 6100 & Netgate 2100
-
@dogfight76 Mach mal bitte das Popup zu in System / General und zeige einfach nur die Liste der DNSe die eingetragen sind und ob dahinter GWs ausgewählt sind.
Das ganze Thema von wegen "anonym unterwegs" sein ist Mumpitz. Wenn man seinem Provider nicht traut, den man fürs Traffic schieben bezahlt und der im gleichen Land sitzt und entsprechende Auflagen hat aber dafür einem VPN Dude aus dem Ausland, dem man viel zu wenig Geld für Dienste hinwirft und dann alles was man hat darüber routet - macht die Rechnung selbst. Ich habs schon mehrfach gesagt, wenn ich ein nation-state-attacker wäre der Bock auf Daten hat, wäre die einfachste Methode aktuell nen simplen neuen coolen hippen ultra-secure VPN Dienst aufzumachen, mit Marketing und Influencern um mich zu werfen und dann die ganzen Daten abzugreifen. :)
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@jegr said in Täglicher Restart der OpenVPN-Clients nötig:
wenn ich ein nation-state-attacker wäre der Bock auf Daten hat, wäre die einfachste Methode aktuell nen simplen neuen coolen hippen ultra-secure VPN Dienst aufzumachen
-
- verstehe nicht was du meinst mit "anonym unterwegs" sein ist Mumpitz"
Warum ist das Mumpitz ? Wenn ich etwas aus dem I-Net lade und es niemand zu mir zurück verfolgen soll ist doch VPN die Wahl, oder ??
Und hier der Screen "System/General"
- verstehe nicht was du meinst mit "anonym unterwegs" sein ist Mumpitz"
-
@nocling said in Täglicher Restart der OpenVPN-Clients nötig:
Warum nutzt du überhaupt den DNS Forwarding Mode?
Hat es mit dem Resolver inkl. Cache und Prefetch nicht geklappt?Warum trägst du selber DNS Server ein, lässt diese aber dann wiederum vom WAN Int überschreiben?
Zum Thema Anonym im Netz.
Der VPN Anbieter weiß jetzt was du machst, Cloudflare auch, dafür dein Provider nicht mehr.Damit du wirklich unerkannt unterwegs bist, musst du auch alle Anfragen die raus gehen mit Zufallsdaten auffüllen, sonst kann man dich anhand der Paketgröße schon mal verflogen.
Das mit den DNS-Servern eintragen wurde mir mal empfohlen.
Wie wäre denn die beste Einstellung zu dem Thema ?Anfrage mit Zufallsdaten füllen ? Das lese ich zum ersten Mal, ist das überhaupt machbar und praktikabel ?
Gruß
-
@dogfight76 said in Täglicher Restart der OpenVPN-Clients nötig:
- verstehe nicht was du meinst mit "anonym unterwegs" sein ist Mumpitz"
Warum ist das Mumpitz ? Wenn ich etwas aus dem I-Net lade und es niemand zu mir zurück verfolgen soll ist doch VPN die Wahl, oder ??
Und hier der Screen "System/General"
Nur weil man ein VPN benutzt heißt das nicht zwangsläufig, dass man nicht aufspürbar ist oder anonym. Es gibt heute genug andere Methoden die zusätzlich greifen um einen Client unabhängig von seiner IP zu identifieren. Da reicht schon wenn du ALLES was du hast übers VPN jagst, dass du gleichzeitig mit der gleichen "anonymen" IP bei deinem Mailprovider Mails abholst. Und schon kann man bei entsprechendem Verlangen und Auskunftswillen mit Metadaten Rückschlüsse ziehen. Zudem entschlüsselt der VPN Provider alles. Das reicht im dümmsten Fall da einen Mitarbeiter zu bestechen, dann sehe ich auch alles was ich will. Es ist eben die Frage WARUM ich das ganze mache und welchen Zweck ich damit verfolge. 100% Anonym sein im Internet? Nope. Dann muss man sich GANZ anders verhalten. Und dann fallen auch mind. 70-80% Dienste weg, die man so gern convenient nutzt.
Daher Mumpitz. Wenn du Anforderungen wie ein Whistleblower hast (bspw.) kannst du dein VPN wegwerfen. Zusammen mit dem Computer. Und wenns ansonsten "nur" damit geht, irgendwelchen komischen Kram runterzuladen, der einem nicht gehört (wieder bspw.), dann kann man an der Stelle auch einfach nur hoffen nicht aufzufallen. Denn wenn das Verlangen groß genug ist, jemand zu tracken, ist die IP das letzte Problem das du hast. Da sind vorher ganz andere Mechanismen im Spiel. Telemetrie und Fingerprinting des Browsers. Cookie Zugriff. Session Calling. Social Engineering.@dogfight76 said in Täglicher Restart der OpenVPN-Clients nötig:
Und hier der Screen "System/General"
Was ist die 198.18.0.1? Die ist aus einem speziellen Block der nicht vergeben/genutzt sein dürfte. 198.18.0.0/15 ist IANA-Special-Use_Benchmarking. Wo kommt die her?
Ansonsten macht dir zumindest eine Einstellung hier dein VPN kaputt oder umgekehrt. Du darfst keine IPs als Monitoring Gateway für andere Interfaces eintragen, die hier bereits angegeben sind. Du nutzt hier 1.0.0.1 als GW WAN. Hast aber beim VPN-NL7xx auch die 1.0.0.1 konfiguriert. Das kann gar nicht gehen, denn entweder er routet die IP übers WAN oder übers VPN. Zwei geht nicht.
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
- verstehe nicht was du meinst mit "anonym unterwegs" sein ist Mumpitz"
-
Vor Jahren ist eine Darknet Plattform hoch genommen worden, hat lange gedauert, weil der Admin über das Tor Netzwerk gearbeitet hat und alle Anfragen an das Forum mit Zufallsdaten auf die gleiche Größe gebracht wurden.
Und trotzdem hat man ihn finden können.
Wenn du wirklich unerkannt im Internet unterwegs sein willst, musst du extrem viel Auffand betreiben.
Normale Webseiten unterstützen so eine Funktion nicht, auch die Sharehoste von denen du das Zeugs runter lädst nicht.
Dann frage dich, wo kommt dein VPN Anbieter her, gilt hier die DSGVO oder unterliegt er anderer Rechtslage?
Woher weißt du das hier nichts logged wird?
Hast du ein Audit durchgeführt oder steht es im Prospekt?Und gerade VPN Anbieter genau wie Tor Knoten werden genauer überwacht. Weil sehr viele die nichts gutes im Schilde führen, so denken wie du, nimmst VPN bist untergetaucht im Web.
Netgate 6100 & Netgate 2100
-
@jegr said in Täglicher Restart der OpenVPN-Clients nötig:
Was ist die 198.18.0.1? Die ist aus einem speziellen Block der nicht vergeben/genutzt sein dürfte. 198.18.0.0/15 ist IANA-Special-Use_Benchmarking. Wo kommt die her?
Ansonsten macht dir zumindest eine Einstellung hier dein VPN kaputt oder umgekehrt. Du darfst keine IPs als Monitoring Gateway für andere Interfaces eintragen, die hier bereits angegeben sind. Du nutzt hier 1.0.0.1 als GW WAN. Hast aber beim VPN-NL7xx auch die 1.0.0.1 konfiguriert. Das kann gar nicht gehen, denn entweder er routet die IP übers WAN oder übers VPN. Zwei geht nicht.Danke für die ausführliche Antwort.
Wo die 198.18.0.1 herkommt weiß ich nicht. Habe ich mal gelöscht.
Und das mit den DNS-Einstellungen habe ich mir "zusammengesucht" und eingetragen.
Was sollte ich ändern ?- die Monitor-IP unter "System-Routing-Gateways"
oder - die DNS-Server unter "System-General Setup"
Und was trägt man da dann ein ? Die DNS-Server habe ich mir aus dem I-Net gesucht. Wie z.b. die beiden IPV4-DNS Server von Cloudflare mit 1.1.1.1 und 1.0.0.1
Gruß und vielen dank für deine nette Hilfe !!!!
- die Monitor-IP unter "System-Routing-Gateways"
-
@nocling
Ok, verstehe ! Anonym geht nicht wirklich !
Aber so ein VPN erhöht die Sicherheit etwas, oder anders rum: Für ein bisschen downloaden wird der Aufwand einen zu finden etwas erhöht. Richtig ? -
Kommt drauf an wer den VPN Dienst betreibt.
Ggf. ist das ja wie JeGr sagte, eine Tochter, der Tochter des Neffen der Cousine des Schwagers der NSA oder GVU.
Dann lieferst du denen deinen Kopf frei Haus
Ich nutze die DNS die ich von meinem Provider erhalte.
Google weiß ja schon was ich wann gesucht habe, die brauchen dann nicht auch noch jede einzelne DNS Abfrage von mir Archivieren.
Wobei das ggf. praktisch ist, wenn ich die voll indiziert durchsuchen könnte, sollte ich mal wieder ein Lesezeichen vergessen haben zu setzen.Oder ich vor lauter Taps den richtigen nicht mehr wieder finde.
Hinterfrage einfach, warum jemand für 3-5€ im Monat deinen ganzen Datenverkehr bei sich durch ein Monster AES Device jagen sollte ohne dann daran ein Interesse zu haben.
In Zeiten von Big Data?
Der dann ggf. noch im Ausland sitzt und unter Recht von Staat xyz steht?Da vertraue ich lieber meinem Provider der sich an die DSGVO halten muss.
