VPN auf dem Host-/ sowie Gastsystem

[alfred]

Hallo,

auf meinem Rechner läuft Windows 7 und ich nutze den VPN Service von Perfect Privacy. Im genaueren nutze ich die hauseigene VPN Software zur Realisierung von MultiHop Verbindungen. Nun ich möchte ich noch auf meiner VM - ebenfalls Windows 7 - zusätzlich den VPN Service - sowie die Software - von SecureVPN.to nutzen.
Als Netzwerkadapter nutze ich "NAT".


Ich hätte gerne folgende Verbindung:

Hostsystem: PP Server Nr.1 -> PP Server Nr.2 -> Gastsystem: -> SecureVPN Server Nr.1

Ich surfe dann natürlich nur über die VM.

Nun die Frage:

- Wenn ich nur über die VM surfe, dann sollte SecureVPN nur die IP des 2 PP Servers sehen, richtig?
- Wenn ich über die VM surfe, dann müsste die Verbindungen ja wie oben beschrieben verlaufen? Vertragt sich das mit der Software beider Programme (VPN/DNS Leak Protection etc.) oder können gefährliche Leaks dadurch entstehen? Man hat ja sozusagen "2 Firewalls". Wenn nicht könnte man ja notfalls die Firewall Protection vom Hostsystem (Perfect Privacy) drin lassen.

Ihr müsst nicht auf die Ressourcenverschwendung oder auf die Nötigkeit eingehen - mir gehts nur um den Sicherheitsaspekt bei der Sache.

Ich hoffe jemand kann mir eine aufschlussreiche Antwort geben.

Vielen Dank!

 

[tokotoko]

- Ja.
- Ja, s.o., nein, entstehen keine Lücken. Jede Software macht auf dem jeweiligen System was sie soll: Nur Verbindungen zum jeweiligen VPN Server erlauben. System 1 kann nur zu PP verbinden und hat somit kein Internet wenn die Verbindung abreisst. Und auf System 2 das gleiche, kann halt nur zu Securevpn verbinden.

 

[Metal_Warrior]

Das, was tokotoko sagt. Letztendlich wird gekapselt. D. h. du baust mit dem Host einen Tunnel zum PP-Server auf. Dieser Tunnel wird (sofern du kein Split Tunneling aktiviert hast) für jede Verbindung ins Internet verwendet. Das Gastsystem nimmt die vorhandene Verbindung als standardmäßig zum Internet verbunden an, d. h. es merkt nicht, dass da ein VPN anliegt. Die Verbindung ist halt langsamer, aber dann hast du halt DSL-16k statt 50M. Das Gastsystem kann dann regulär eine eigene VPN-Verbindung aufbauen; die verlässt erst den "äußeren" Tunnel und geht dann direkt zum eigenen VPN-Server (also SecureVPN.to). Vorausgesetzt, du hast dort auch kein Split Tunneling aktiv, wird nun jede Verbindung so geroutet:

Dein Computer
-> dein Router (hier wird zum ersten Mal geNATet)
-> [diverse Zwischenhops deines ISPs etc.]
-> PP-VPN-Server (hier wird zum zweiten Mal geNATet)
-> [diverse Zwischenhops - der normale Internetwahnsinn]
-> SecureVPN.to-Server (hier wird zum letzten Mal geNATet)
-> [diverse Zwischenhops - der normale Internetwahnsinn]
-> Website

Die Website sieht nur die IP des letzten NAT-Gateways in der Kette, also die IP des Servers von SecureVPN.to. Gleichermaßen sieht dieser Server auch nur die IP des letzten NAT-Gateways vorher also die des PP-Servers, welcher selbst auch "nur" Kenntnis des vorherigen NAT-Gateways hat (dein Router). Interessant ist an dieser Kette aber, dass du dir so eine Art Onion-Routing aufbaust: SecureVPN kennt die Destination (also die Website), aber nicht die Source (also dich), wohingegen PP nur die Source (bzw. eigentlich nichtmal die, denn wer sagt, dass du allein hinter deinem Router bist) kennt, aber aufgrund der Verschlüsselung des Datenverkehrs im VPN von SecureVPN nicht die Destination.

Die Frage ist, ob diese Paranoia notwendig ist, zumal du Windows verwendest, das ja eher der freundliche Außerirdische unter den Betriebssystemen ist. Und zumindest E.T. 1 (also der Host) wird maximal nur eine VPN-Verbindung (nämlich die von PP) verwenden, um nach Hause zu telefonieren...

BTW: NAT ist kein Netzwerkadapter. Es ist eine Methode, Netzwerke im IPv4-Bereich zu trennen, indem das kleinere Netzwerk und alle Systeme darin sich die IP-Adresse des Gateways teilen. Intern haben sie alle eine eigene IP, aber das Gateway "übersetzt" die Adressen in seine eigene und weist der Verbindung einen eigenen Port zu, daher "Network Address Translation".