Moin moin,
gestern bin ich über eine Seite mit Werbung für VPNs gestolpert. Die Werbung war sogar recht… clever. Sie zeigt einem die eigene IP und warnt davor, dass diese für den Service sichtbar ist.
Im ersten Moment dachte ich mir, na und, ist ja nur die Addresse meines VPN. Trotzdem hat es mich etwas stutzig gemacht, die IPv6 Addresse kam mir irgendwie bekannt vor. Tja.
Sie kommt aus meinem Heimnetz. Ich lande auf https://test-ipv6.com/ und sehe, dass neben der IPv4 meines VPN auch eine v6 meines ISPs offen ist. Hmmm…
Bin gerade sehr verwirrt, was ich damit anfangen soll. Wieso kommt es zu diesem Leak? Wieso scheitert der VPN? Was tue ich am besten dagegen? Scheinbar kann ich auf meinen Geräten IPv6 deaktivieren, das könnte aber vor allem zukünftig Einschränkungen in Funktionalität bedeuten.
Falls ihr spannende Stichworte zum recherchieren habt oder anderweitig interessante Infos, gerne her damit.
Mal vorsichtig formuliert: digitale Selbstverteidigung (Fachwort OpSec - Operational Security) ist nicht so einfach wie einfach nur irgend ein VPN zu installieren. Da gibt es selbstverständlich große Unterschiede.
Moderne Computer lecken an so vielen Stellen private Informationen dass es echt nicht lustig ist. IPv6 ist da leider nur ein Element. Ein Browser hat noch Cookies, Information zur Bildschirm Größe, welche Schriften installiert sind, Plugins….
Ganz viel davon kann verwendet werden um dich zu deanonymosieren. Ob das ein Problem ist, hängt aber natürlich von deinem Angriffsprofil aus, ist also auch schon mal gar nicht einfach zu beantworten.
Wenn dich das wirklich interessiert, würde ich empfehlen in einen lokalen Hackspace einzutreten, und zu CCC Veranstaltungen zu gehen, da gibt’s dazu sehr viel zu lernen.
Mal vorsichtig formuliert: digitale Selbstverteidigung (Fachwort OpSec - Operational Security) ist nicht so einfach wie einfach nur irgend ein VPN zu installieren. Da gibt es selbstverständlich große Unterschiede.
Irgendwo war mir das auch klar, habe da bisher auf jeden Fall viel geschludert. Bei meinem Threatlevel ist das denke ich auch einigermaßen vertretbar. Trotzdem ist es nun an der Zeit, tiefer in die Thematik einzusteigen.
Wenn dich das wirklich interessiert, würde ich empfehlen in einen lokalen Hackspace einzutreten, und zu CCC Veranstaltungen zu gehen, da gibt’s dazu sehr viel zu lernen.
Da habe ich tatsächlich kürzlich schon drüber nachgedacht, werde ich glaube ich echt mal angehen.
https://browserleaks.com/ip Die Seite ist super; check die mal aus. Da kann man alles mögliche testen, Leaks und vieles mehr! Nur zu empfehlen um auf Nummer sicher(er) zu gehen. (:
Das liegt an deinem VPN Client. Bin leider auch kein Netzwerk Profi, aber bin auch schon mal über das Problem gestolpert. Wer ein VPN benutzt sollte immer auf leaks testen. Und nicht nur ipv6, sondern auch DNS.
Vergiss nicht, dass dein Browser auch Infos über dich leaked, auch ohne cookies.
Und falls du es noch nicht weisst, VPNs können auch Honigtöpfe sein und dein komplettes Surfverhalten analysieren.
Ich würde meinen, dass dein VPN Proxy nur den v4-Adapter brückt. Versuch mal, den v6-Adapter abzustellen, am besten über die Routingtabellen in der Firewall.
Bingo!
Es fehlte eine kleine Ergänzung in der wireguard config. Falls das Problem in der Zukunft jemand hat und hier landet -> https://protonvpn.com/support/wireguard-linux#cli unter 3.
Firewall ist für mich gerade noch eher Neuland, aber steht schon oben auf meiner to-learn Liste.
Definitiv die bessere Lösung, als IPv6 zu deaktivieren! Aber schon kurios, dass man das optional selber nach konfigurieren muss. Ist ja nicht mehr 2005, wo IPv6 irgendwie wenig verbreitet war. Gerade im privaten Netzwerk hat fast jeder IPv6 in irgendeiner Form…
Ja, das hat mich mich schon auch sehr gewundert. Also frage mich vor allem, ob es irgendeinen sinnvollen Grund gibt, dass das nicht der default ist?
Kann ich mir nicht vorstellen. Was bringt ein VPN, der nur vielleicht und manchmal deine IP verschleiert? Oder potentiell gar nicht?
Wenn ich mir meinen Traffic privat anschaue, ist mittlerweile fast das meiste IPv6. Und dann wäre das für mich nutzlos.
Von deiner Beschreibung würde ich schätzen, dass der Grund, wieso deine Heim IPv6 sichtbar ist, darin liegt das dein VPN eben nur IP V4 abdeckt. Bessere VPN Anbieterkönnen das besser.
Danke für den Tipp, aber es scheint doch eine falsche bzw. unzureichende wireguard config zu sein. Beschämt muss ich auch feststellen, dass das Problem bei dem How-To des VPN Providers nicht unerwähnt ist.
In der aktuellen C’t wird das thematisiert. Auch die Geschichte mit IPv4 und v6
Eben am Handy probiert. Ich nutze Proton VPN. Mit VPN keine IP6 Verbindung, ohne VPN IP6 vorhanden.
Aber das ist doch auch kacke. Kein IPv6?
Ich hätte gedacht, dass gerade solche VPN Anbieter sich die Mühe machen und auch IPv6 unterstützen…
Unterscheidet sich oft zwischen verschiedenen Servern, laut ProtonVPN unterstützen 80% ihrer Server IPv6.
Ja, das ist ein potentieller und recht bekannter einfacher Leak, der andere etwas komplizierte ist ein DNS Leak.
Ich selber mache es mittlerweile so, dass wenn ich den VPN nutze, IPv6 komplett deaktiviere bzw. das offizielle Skript des Anbieters macht es nach Abfrage, und dann unterbinde ich noch alle ausgehenden Verbindungen zu allen nicht-lokalen IPv4-Adressen auf dem physischen Interface außer der des VPN-Servers. Wenn ich dann kein VPN mehr nutzen möchte (manche Dienste sperren die Adressen), starte ich den kompletten Rechner neu, dann habe ich einen hoffentlich sicheren Ausgangszustand.
Lieber zu vorsichtig…
Ich hatte mal bei einem Uni-VPN beobachtet, dass beide Rechner eine kürzere Route gefunden haben und ab dann über diese Route kommuniziert. (Ich glaube, ping hatte das gemeldet)
Also müssen beide Rechner der anderen Seite die wahre IP-Adresse irgendwie mitteilen können.
Habe das aber nicht weiter recherchiert, ob man das abstellen konnte, weil ich nur eine direkte Verbindung zum Rechner eines Kumpels haben wollte und nicht mich im Internet tarnen.
