VPN



  • Networker schrieb:

    Wie werden eigentlich bei VPN-Clients die Pakete geroutet? Was macht ein VPN-Client, um zu verhindern, dass die Pakete direkt über die ungesicherte Leitung gehen, anstatt durch das gesicherte Netz?

    Es gibt keine "gesicherte" Leitung, alle Packete laufen durch das gleiche Netz. Darum heisst es ja auch Virtuelles Privates Netz. Die Datenpackete werden dadurch gesichert das der Inhalt verschlüsselt ist und nur der Empfänger sie wieder entschlüsseln kann. (idr Konzept public/private key). Ansonsten werden die Packete genauso geroutet wie alle anderen auch.



  • ich glaube hier gehts mehr um die frage: fuer welches netzwerkinterface entscheidet sich das betriebssystem beim versenden von paketen. richtig?



  • Networker schrieb:

    Werden da die Socketfunktionen gehookt? Oder wie kann man das erreichen? Ich wüsste nicht, wie man unter normalen Netzwerkfunktionen noch das Interface angeben kann, was dafür genutzt werden soll...

    die vpn-pakete werden einfach in pakete des 'träger'-netzwerks verpackt. siehe dazu auch: http://en.wikipedia.org/wiki/Tunneling_protocol
    🙂



  • loki1985 schrieb:

    ich glaube hier gehts mehr um die frage: fuer welches netzwerkinterface entscheidet sich das betriebssystem beim versenden von paketen. richtig?

    Ganz genau!

    Immerhin weiß mein Browser z.B. ja nicht, dass er jetzt über ein VPN surft. Der schickt nur ganz normal seine unverschlüsselten Pakete raus (wenn man nicht gerade SSL nutzt...).
    Wie läuft das dann, das der VPN-Client die Pakete abfängt und sie verschlüsselt, bevor sie dann über das normale Interface verschickt werden?



  • Ganz einfach: das entscheidet der VPN-Client anhand der Zieladresse. Liegt diese im Adressbereich des virtuellen Netzes wird verschlüsselt, sonst nicht.



  • und was ist wenn mehrere interfaces dieselben adressen bedienen, wird dann einfach das erste passende benutzt?

    also ich erinnere mich dass ich mal eine firmen-VPN-verbindung per windows-VPN-unterstuetzung aufgebaut habe, und da gab es eine option die sowas besagte wie "alle verbindungen bevorzugt auf diesem netzwerk aufbauen", und damit ging dann z.b. mein browser auch immer ueber dieses VPN. vielleicht hilfts ja 🙂



  • Jansen schrieb:

    Ganz einfach: das entscheidet der VPN-Client anhand der Zieladresse. Liegt diese im Adressbereich des virtuellen Netzes wird verschlüsselt, sonst nicht.

    beziehungsweise, entscheidet das wirklich der VPN client? wenn ja, dann muesste er sich ja trotzdem irgendwie als filter vorschalten und _alle_ verbindungen bewerten. aber da der vpn-client ja auch wieder nur ein netzwerktreiber ist, wie koennte er das?



  • loki1985 schrieb:

    aber da der vpn-client ja auch wieder nur ein netzwerktreiber ist, wie koennte er das?

    Ist das nicht so, dass für vpn eine Netzwerkbrücke zur eigentlichen Karte eingerichtet wird und danach alles über die Brücke geht? Damit hätte man doch einfach die Filterfunktion wenn ich mich nicht irre.



  • in den vpn tunnel kann man nicht rein schauen (zumindest nicht so leicht) .. wenn er den tunnel nicht benutzt sondern lieber über den berg wandert wird er gesehen (also die daten)

    wo liegt jetzt eig. das genaue problem?



  • loki1985 schrieb:

    Jansen schrieb:

    Ganz einfach: das entscheidet der VPN-Client anhand der Zieladresse. Liegt diese im Adressbereich des virtuellen Netzes wird verschlüsselt, sonst nicht.

    beziehungsweise, entscheidet das wirklich der VPN client? wenn ja, dann muesste er sich ja trotzdem irgendwie als filter vorschalten und _alle_ verbindungen bewerten. aber da der vpn-client ja auch wieder nur ein netzwerktreiber ist, wie koennte er das?

    nö das entscheidet nicht der VPN client.
    der VPN client stellt ein zusätzliches virtuelles netzwerk-interface zur verfügung.
    das wird dann von windows ganz normal verwendet, wie ne 2. netzwerkkarte eben.

    was wo hingeht wird ganz normal vom netzwerk-stack entschieden (routing halt).

    einige VPN clients haben dazu AFAIK code drinnen, der das VPN interface irgendwie "vorreiht" (über die interface metrik oder wie auch immer).


Anmelden zum Antworten