Servus,
ein Freund von mir zieht bald nach China und hat natürlich keine Lust mit Restriktionen zu surfen. Deswegen habe ich auf einem meiner Root-Server (steht in Frankfurt) OpenVPN installiert damit er meine Root-Server als Gateway nutzen kann.
Soweit funktioniert alles, ich kann mich testweise von einem Windows 2000 PC hier in meinem Netzwerk an dem Root-Server via VPN connecten. Es scheint auch alles zu funktionieren, wenn ich nload auf dem Root-Server anschmeisse, zeigt er mir den Traffic an, den ich z.B. mit FTP durch den Windows-Client über das VPN erzeuge.
Mit Wireshark (bzw. Ethereal scheint ja das gleiche zu sein) sehe ich auf dem Client auch, das nachdem ich die VPN-Verbindung hergestellt habe, alle Pakete von Source Adresse 192.168.1.1 (der Windows PC) an die Root-Server Adresse als Destination geschickt werden und vice versa.
Im Endeffekt sollte er doch jetzt ohne Probleme sich von Macau nach Frankfurt connecten können (wenn die IP nicht von irgendwelchen chinesischen ISP's gesperrt ist) und ohne Zensur surfen könne. Genauso als würde er hier in meinem Wohnzimmer sitzen. Oder gibts da noch ein paar Stolpersteine die die Chinesen einem in den Weg legen?
Habe ich jetzt noch irgendwas übersehen, oder vergessen? Ich will nur 100%ig sicher gehen, das ich alles überprüft habe, das ist nämlich mein erstes VPN. Wenn er nämlich in Macau ist, kann ich ihm erstmal nicht mehr helfen...

Es muss dann aber sämtlicher traffic über den VPN Server geroutet werden, nicht nur HTTP/FTP.

Sonst kann man am DNS Traffic recht einfach sehen was das subjekt so ansurft :)

So kann man auch die dümmlicheren TOR User prima beobachten wenn sie vergessen ihren DNS Traffic über das TOR Netz zu routen :)


mfg
cane

Yep, denn die Chinese-Firewall arbeitet auch mit DNS-Spoofing. Wenn DNS-Anfragen nach Servern aus dem Index rausgehen, bekommt man wohl zuerst die richtige DNS-Antwort und mit sehr geringer Zeitverzögerung kommt eine DNS-Antwort mit einer falschen IP.
Auf dem letzten Chaos Congress in Berlin hatte dazu einer eine Untersuchung gemacht.

Die anderen beiden Punkte waren im wesentlichen:
- Routing-Sperre zu bestimmten IPs
- Content-Filtering: wenn ein Wort aus dem Index auftaucht, wird die gesamte Verbindung zurückgesetzt indem die Chinese-Firewall TCP-Reset-Paket an beide Kommunikationspartner sendet.

Als Gegemaßnahme hat der Typ daher vorgeschlagen: Verschlüsselung (selbst HTTPS und SMTP/POP3 über SSL recht schon aus) und TCP-Reset-Pakete bei TCP-Tunneln ignorieren

Als DNS-Server bekommt der Windows-Client, beim VPN-Verbindungsaufbau, die DNS-Server vom VPN-Server zugewiesen.
Wie kann ich das denn am geschicktesten überprüfen, ob der DNS-Traffic über den VPN-Server geht bzw. das alles über das VPN geht? Muss ich beim Windows-Client noch irgendwas einstellen?
Schonmal Danke für eure Antworten.

Edit:
Also, ich habe nochmal Wireshark angeschmissen und jede Applikation die ich testweise mal gestartet habe (PartyPoker, Google Earth, FTP, Http, Https, SVN) wird immer nur als Source 192.168.1.1 (also der Windows-Client) und als Destination die IP des VPN-Servers angezeigt und vice versa. Also geht doch der ganze Traffic über den VPN-Server, oder?

Yep, denn die Chinese-Firewall arbeitet auch mit DNS-Spoofing. Wenn DNS-Anfragen nach Servern aus dem Index rausgehen, bekommt man wohl zuerst die richtige DNS-Antwort und mit sehr geringer Zeitverzögerung kommt eine DNS-Antwort mit einer falschen IP.
Auf dem letzten Chaos Congress in Berlin hatte dazu einer eine Untersuchung gemacht.

Die anderen beiden Punkte waren im wesentlichen:
- Routing-Sperre zu bestimmten IPs
- Content-Filtering: wenn ein Wort aus dem Index auftaucht, wird die gesamte Verbindung zurückgesetzt indem die Chinese-Firewall TCP-Reset-Paket an beide Kommunikationspartner sendet.

Als Gegemaßnahme hat der Typ daher vorgeschlagen: Verschlüsselung (selbst HTTPS und SMTP/POP3 über SSL recht schon aus) und TCP-Reset-Pakete bei TCP-Tunneln ignorieren

Das PDF von seinem Vortrag habe ich gerade gefunden. Ist aber von 2004 von Jens Ohlig. Danke für den Hinweis.