[Problem] Nach VPN-Verbindung telefonieren nicht mehr möglich

[frank_m24]

Aufs VPN verzichten. In 99% aller Fälle bringt das absolut keinen Mehrwert. Der einzige sinnvolle Anwendungsfall ist es, seine Herkunfts-IP in ein anderes Land zu verlegen, z.B. für Streaming Dienste. Das betrifft dann aber nur einzelne Geräte, und dann sollte man für die Geräte dediziert ein VPN aufbauen. Im zentralen Heimnetz-Router haben solche VPNs absolut gar nichts verloren. Es gibt so viele Gelegenheiten, private Meta-Daten in den Rachen der großen Datenkraken zu werfen, da muss man nicht auch noch das komplette Heimnetz, alle Hobbies, Vorlieben, Aktivitäten, Arbeitszeiten, An- und Abwesenheiten etc. offenbaren. Und genau das tut man mit einem VPN im Heimrouter.

 

[jkanev]

Verstehe. Ich will -- abgesehen von Geoblocking -- einfach nicht, dass meine private IP überall herumfliegt, und ich kann schlecht den anderen Familienmitgliedern erklären, dass sie jetzt überal VPN installieren sollen. Vielleicht besser, einen kleinen Gateway hinter die Fritzbox zu legen, und dort ein oder mehrere VPNs zu haben? Was meinst du? Ließe sich wahrscheinlich auch leichter handhaben?

 

[KunterBunter]

Ich will -- abgesehen von Geoblocking -- einfach nicht, dass meine private IP überall herumfliegt

Wäre es da nicht am naheliegendsten, einfach auf Internettelefonie zu verzichten, oder sogar ganz auf private IP-Nutzung?

 

[frank_m24]

Ich will -- abgesehen von Geoblocking -- einfach nicht, dass meine private IP überall herumfliegt,

Wo ist der Unterschied, wenn stattdessen deine VPN IP überall herumfliegt?

 

[chrsto]

Auch wenn die eigene IP Adresse ist längst nicht mehr das Erkennungsmerkmal ist:

Bei der Nutzung von VPN (und keiner dedizierten VPN IP) taucht man in der Masse der anderen VPN User unter. Das kann ein Vorteil für ein bestimmtes Szenario sein. Allerdings lässt man seine Metadaten dann beim VPN Anbieter zurück.

 

[Peter_Lehmann]

Der einzige sinnvolle Anwendungsfall ist es, seine Herkunfts-IP in ein anderes Land zu verlegen, z.B. für Streaming Dienste.

Hier ein (ganz kleiner) ergänzender Widerspruch.
1. Das trifft zu für einen der bekannten kommerziellen VPN-Anbieter. Wobei die Streamingdienste auch immer mehr der IPs der VPN-Endpunkte kennen und blockieren.
2. Der weitverbreitete Irrglaube hinsichtlich einer angeblich per VPN erreichbaren Anonymität im Netz stirbt wohl nie aus.
3. Und der fast einzige sinnvolle Anwendungsfall für ein VPN ist die "abhörsichere" Kopplung mehrerer Netze untereinander oder "aushäusig" betriebener Mobilgeräte mit seinem eigenen (Heim- oder Firmen-) Netz.
Und JA, darüber kann man auch von Unterwegs telefonieren.

 

[jkanev]

Genau, die Idee war, in der Masse etwas unterzugehen, so als minimaler Schutz, plus Verschlüsselung, und dann die IPs häufig zu wechseln.
Obwohl sich für die Zukunft ja nichts garantieren lässt, halte ich meinen VPN-Provider für halbwegs vertrauenswürdig. Also, würdet ihr eher
(1) VPN auf der Fritzbox haben (möglicherweise mehrere verschiedene) und häufig die IPs wechseln (wahrscheinlich manuell? Oder hat eine Fritzbox eine API?), oder
(2) kein VPN auf der Fritzbox aber stattdessen einen Gateway hinstellen mit VPN (da könnte das Wechseln dann automatisch gehen), oder
(3) VPN nur auf einzelnen Geräten haben um geobocking zu umgehen?
Auf VoIP verzichten geht kaum, das ist unser Festnetz.
(4) Gibt es noch andere Möglichkeiten?

Viele Grüße, Jacob.

 

[frank_m24]

Genau, die Idee war, in der Masse etwas unterzugehen,

Nutzt dein Anbieter CGNAT? Dann gehst du da deutlich besser in der Masse unter. Und wie hier schon steht: Die IP ist beim Tracking inzwischen sehr unbedeutend geworden.

plus Verschlüsselung,

Die zusätzliche Verschlüsselung gilt aber nur bis zum VPN Provider. Danach ist alles genauso unverschlüsselt, als wenn du es direkt absenden würdest. Das ist das größte Wolkenluftschloss-Argument, dass sich die VPN Anbieter ausdenken konnten. Es ist echt erstaunlich, wie viele darauf hereinfallen. Du biegst von der Hauptstraße ab, damit dich niemand sieht, fährst einmal und den Block und dann wieder auf die Hauptstraße und fährst genauso weiter, wie vorher. Außer dem Umweg hast du nichts erreicht. Wirklich GAR NICHTS.

Wie gesagt, komplett auf VPN verzichten ist mit Sicherheit die mit Abstand beste Lösung. Wenn es für Geo-Blocking sein muss, dann bitte nur gezielt für das eine Gerät, dass diesen Block umgehen muss, am besten direkt auf dem Gerät oder mit einem dedizierten Gateway davor. Auf dem Heimrouter hat ein VPN wirklich gar nichts verloren. Außer mehr Delay und die perfekte Spionage durch den Anbieter gibt es keine Änderung an der Verbindung. Und er WIRD deine Daten nutzen, weil er gar nicht anders kann, denn ansonsten ließe sich aus diesen VPN Diensten kein tragfähiges Geschäftsmodell stricken.

 

[KunterBunter]

Auf VoIP verzichten geht kaum, das ist unser Festnetz.

Sehr viele Leute benutzen heutzutage gar kein Festnetz mehr und bemerken den Verzicht nicht einmal.

 

[Manfred3]

In der Masse untergehen
Ruf doch mal https://www.dein-ip-check.de/ auf.
Einmal mit und einmal ohne VPN.
Und dann vergleiche mal das Canvas Fingerprint und das WebGL Fingerprint,
es wird gleich sein. Und viele VPN Adressen sind wohlbekannt. So wird das nichts mit dem Verschleiern.

 

[KunterBunter]

Und dann vergleiche mal das Canvas Fingerprint und das WebGL Fingerprint,
es wird gleich sein. Und viele VPN Adressen sind wohlbekannt.

Habe ich gemacht. Da war nichts gleich, auch die Adressen waren mir nicht bekannt. Aber die VPN Adressen kann man jederzeit nachschauen, genauso wie jede andere IP-Adresse auch.

Webupdates

Tool that allows to add new objects and edit or delete existing objects in the RIPE Database

apps.db.ripe.net

 

[Manfred3]

Klar kannst du vieles abschalten, du kannst auch vieles jedes mal anders senden z.B. Browserkennung, Auflösung, Grafikkarte, Schriftarten usw, usw.
Das müsstest du ständig ändern. (Gar nichts senden ist auch ein Merkmal) Du weißt das sicher, aber ob das jemanden auch klar ist, der sich wundert, dass seine IP-Provider über einen VPN-Tunnel nicht erreichbar sind? Ich hatte hier um Weihnachten aus Spielerei viele VPN Provider ausprobiert, mein Eindruck ist, je bekannter und größer die sind, desto eher sind deren IP-Adressen bekannt. Schon Google ändert sein Verhalten, wenn du über ein VPN kommst. (Nein, nicht standortabhängig). VPN-Tunnel sind für mich nützlich, um mal zu schauen, ob nicht woanders nur die Hälfte des Preises aufgerufen wird, da reicht dann regelmäßig ein Testaccount. Andere schauenen hier geblockte Filme. Das ist alles ok, solange sie sich bewusst sind, sie sind im Zweifel identifizierbar. Um die Kurve zu ip-phone zu bekommen, die IP-Provider sind hier in der EU verplichtet, zu wissen wer der Anschlussinhaber ist, deshalb lassen die schlichteren nur Verbindungen aus dem eigenen Netz zu. IMHO

 

[jkanev]

Mmh. Providerwechsel oder aufs Festnetz verzichten kommen leider nicht in Frage. Vielleicht ist VPN nur ein minimaler Schutz und keine perfekte Anonymität, aber dafür überhaupt nichts zu machen, mit der Begründung, es bringt ja eh alles nichts, überzeugt mich nicht. So, als würde ich sagen, mein Gesicht können ja eh alle erkennen, also kann ich auch gleich nackt herumlaufen. Was für mich trotzdem noch für VPN spricht:

• Wenn ich über einen VPN-Provider gehe, ist die Korrelation wer im gleichen Haushalt mit wem wohnt schon einmal deutlich schwieriger zu machen.
• Soweit ich sehen kann, speichert ProtonVPN keine Verbindungsdaten. Das ist Teil des Vertrages. Du bezahlst für ein Jahr, und bekommst dann einen Satz von OpenVPN/Wireguard Zugangsdaten, zu über 11,000 Servern. Die kann ich auch noch regelmäßig wechseln.
• Die Fingerprints sind schon von Browser zu Browser auf dem gleichen Gerät verschieden. Dazu noch auf verschiedenen Geräten, und insbesondere von verschiedenen Leuten im gleichen Haushalt. Dh gleicher Fingerprint heißt, wahrscheinlich gleicher User+Browser. Es geht damit aber keine Zuordnung mehr wenn ich verschiedene Geräte auf verschiedenen Seiten benutzt habe.
• Das politische Klima geht gerade eher in Richtung Überwachung, Kontrolle, und Prävention, der Koalitionsvertag sieht wieder Vorratsdatenspeicherung vor, und zwar sollen ausschließlich IPs gespeichert werden. Genau das kann ich zB mit ProtonVPN umgehen.

→ Was ich als Fazit mitnehme: Flächendeckendes VPN auf der Fritzbox, und dabei VoIP intakt lassen, geht nur, wenn größere Adressbereiche ohne das VPN laufen, und die Konfiguration ist ziemlich anstrengend. In die Fritzbox sollte nur begrenztes VPN (zB ins Intranet meiner Firma, oder zu bestimmten Streaming-Diensten). Für flächendeckendes VPN wäre wahrscheinlich ein kleiner Gateway an der Fritzbox besser, der könnte zB auch den VPN-Server regelmäßig wechseln. Was meint ihr?

 

[Theo Tintensich]

Ich will --.... -- einfach nicht, dass meine private IP überall herumfliegt,

Die fliegt nicht herum, wenn ...
hast du dein Mailprogramm passend konfiguriert, dass es nicht die IP des Clients, von dem sie aus geschrieben wurde, mit in den Header packt?

denn normalerweise werden die lokalen Netz-IPv4s nicht mit ins Internet geblasen, wen sie nicht von andern Systemen mit in die Daten gepackt werden.
Das Internet sieht nur die Router-IP und den Port, den ein NAT-Router vergeben hat.

Bei IPv6 sieht es, wenn man die automatische IP-Vergabe der Router nutzt, und sich kein NAT dafür eingerichtet hat, natürlich anderes auch.
Doch hier würde dann oft auch kein VPN helfen. Denn das VPN ist ja nichts anderes, wie ein virtuelles Kabel, das nicht beim eigenen ISP, sondern beim ISP des VPN-Endpunkts eingestöpselt ist.
Und über dieses Kabel geht eben jeglicher Verkehr zwischen dem Quell- und dem Zielsystem, mit den jeweiligen IP-Adressen, wenn es kein NAT auf mindestens einer Seite gibt.
(Bei IPv6 jetzt seltener)

Bei WireGuard und Fritz-Boxen bekommt ja der Client eine IP aus dem F!B-Netz, und die F!B, die den Internet-Zugang bereit stellt, setzte dann um, oder nicht, kommt auf den Protokollstapel (v4/v6) an.

Nutzt man einen Professionellen WireGuard-Anbieter, kommt man mit seiner F!B und seinen internen IPs dort an und dieser setzte sie dann per NAT um. Auch die IPv6, da diese sonst nicht zu ihm zurück geroutet würden.

(NAT ist eine vollkommen problemlose Sache. Schwierigeiten man PAT, das umsetzten der Portadressen)

 

[Theo Tintensich]

hast du dein Mailprogramm passend konfiguriert, dass es nicht die IP des Clients, von dem sie aus geschrieben wurde, mit in den Header packt?

da das sicher zu Nachfragen führt:
Beim Thunderbird steht hier bei jedem Profil als Default die IP-Adresse des Clients drin.
Man kann hierfür einen anderen Header-Wert definieren, zum Beispiel "localhost"

 

[KunterBunter]

Das Missverständnis rührt vermutlich daher, was @jkanev unter "private IP" versteht, die "überall herumfliegt". Damit ist ganz sicher keine private IP-Adresse gemeint.

 

[Manfred3]

Sein Netz wird 192.168.178.0/24 sein, das hat er mit Millionen anderen gemeinsam. Die Frage ist, was will er erreichen? Anonym sein, oder einen anderen Standort vortäuschen? Für einen anderen Standort vortäuschen kann VPN funktionieren, nur sind die Adressen der großen Anbieter wohl mittlerweile bekannt und oft geblockt. Ich würde dann zu einem vServer in den z.B. USA greifen und dorthin mein VPN einrichten. (Ab 1$/Monat.) Anonymität, um sich vor der Rache von Robert und Nancy zu schützen, erreicht man mittels Tor. Wenn es darum geht, das ganz große Verbrechen zu verbergen, da könnte auch Tor ungeeignet sein. Tor wird (auch) von US-Behörden unterstützt. So ganz uneigennützig werden die nicht sein. Auch wenn Du es nicht bemerkst, sie sind hinter Dir her!

 

[jkanev]

Mit "private IP" meinte ich das, was ich sehe, wenn ich auf eine IP-Check-Seite gehe. Nicht 192.168.x.y.

Wir sind ja heutzutage ziemlich öffentliche Personen. Auf jeder Website hinterlassen wir eine IP (und auch die anderen Informationen, siehe oben). Wir haben Benutzernamen, die sich überall ähneln, du kannst mich auf Social Media finden, du kannst dir auch denken, welche Accounts auf welchen Plattformen zur selben Person gehören. Mein Sprachstil ist überall ähnlich und ich sage ähnliche Sachen. Damit hast du meine Vorlieben, Interessen, politischen Ansichten, Hinweise auf meine Familie, und im Groben auch wo ich lebe und wohin ich verreise.
Was du nicht hast, ist meine Postadresse.

Mit der Vorratsdatenspeicherung (siehe Koalitionsvertrag) ändert sich das. IPs und Zeiten sollen gespeichert werden. Auf einmal gibt es diese Verbindung. Du kannst (als autorisierte Person) die Logs von der Social-Media-Webseite anfragen, dann einfach beim Provider nachfragen, und bekommst eine Zuordnung mit Namen und Hausnummer. Jetzt läßt sich diese virtuelle Person mit einer Hausnummer verbinden, wo du klingeln kannst, und ich wohne da.

VPN ist ein sehr einfaches Mittel hier. Mein VPN-Anbieter speichert weder meine Verbindungsdaten (Zeitpunkt, Dauer, Server, ursprüngliche IP), noch kennt er meine Postadresse. Die Verbindung virtuelle-Person-Website-IP-Postadresse ist damit ersteinmal getrennt.

Natürlich bekommt man eine physische Adresse mit etwas Forensik trotzdem heraus. Aber man muss sich schon etwas mehr anstrengen. Der zeitliche Aufwand ist größer als mein Aufwand, das VPN einzurichten, und damit verschiebe ich also das Zeitverhältnis zu meinen Gunsten. Und deshalb finde ich, lohnt sich das Ganze.

 

[chrsto]

Auf einmal gibt es diese Verbindung.

Das geht auch jetzt schon. Die Urheberrechtsindustrie ist da sehr effizient.

Mein VPN-Anbieter speichert weder meine Verbindungsdaten

Diese kindliche Naivität hat schon fast etwas bewundernswertes.

 

[Novize]

Mit der Vorratsdatenspeicherung (siehe Koalitionsvertrag) ändert sich das. IPs und Zeiten sollen gespeichert werden. Auf einmal gibt es diese Verbindung. Du kannst (als autorisierte Person) die Logs von der Social-Media-Webseite anfragen, dann einfach beim Provider nachfragen, und bekommst eine Zuordnung mit Namen und Hausnummer. Jetzt läßt sich diese virtuelle Person mit einer Hausnummer verbinden, wo du klingeln kannst, und ich wohne da.

Du glaubst allen Ernstes, das geht nicht (so einfach) mit VPN?
Sorry, du kannst "(als autorisierte Person)" problemlos so viel heraus bekommen - die Computerforensik ist ja auch in der Lage, Marktplätze und Foren im Darknet hochzunehmen, wo es weit leistungsfähigere Verschleierungstechniken gibt, als einen schnöden VPN-Anbieter. Hier gibt es ausgereifte Programme und Mechanismen, das wäre sogar für Scriptkids möglich, wenn sie denn vor dem richtigen PC sitzen.
Insgesamt ist VPN eine tolle Sache, um privat in sein eigenes LAN zu gelangen, Homeoffice ins Firmennetz zu realisieren oder auch entsprechenden Service bei Kunden anzubieten (vorausgesetzt, da hockt auch die entsprechende Technik), aber nicht zur Verschleierung der eigenen Person