VPN aus China.

Der kleine VPN-Secure-Gateway-Erfahrungsbericht von heute hat natürlich einen Hintergrund. Es ist sozusagen ein langgehegter Sysadmin-Wunsch in Erfüllung gegangen, in dem meine Schwester, die zur Zeit im Fernen Osten weilt, in Shanghai aufgeschlagen ist und auf ihrem iPhone keinen Zugriff auf Facebook mehr hatte. Tja, so erlebt man als Bürger eines westlichen Staates die staatliche Reglementierung der öffentlichen Meinung am eigenen Leib.

Über normale Wege hilft da nichts, denn die Blockierung von Websites erfolgt im Falle von Facebook offensichtlich durch die Blockierung der von Facebook verwendeten IP-Adressen. Da hilft dann auch kein SSL, denn wenn man eine IP-Adresse erst gar nicht erreichen kann, hilft da auch die beste Verschlüsselung nicht. Also musste gestern mal wieder auf bewährte Weise meine Fritzbox ran, die ja eben VPN-Funktionalitäten mitbringt und mit dem VPN-Client des iPhone auch ganz gut harmoniert.

Zugang auf der Fritzbox eingerichtet, meiner Schwester die Daten zukommen lassen (und natürlich das Passwort nicht in Klartext, wir sind ja paranoid!). Und schon beim zweiten Anlauf funktionierte der VPN-Tunnel anstandslos, was sehr schön am Homescreen zu erkennen ist (man achte auf das kleine VPN-Symbol in der Informationsleiste):

IPSec bzw. Internet-Key-Exchange (IKE) laufen standardmäßig über UDP-Port 500 und der scheint auch tatsächlich nicht gesperrt zu sein von der IP-Adresse aus, von der meine Schwester ins Internet hineinstolpert (China Telecom).

Der Weg aller Daten ist nun folgender: Ist der VPN-Tunnel etabliert, wandern alle Daten, die das iPhone ins Internet abkippen möchte, nicht direkt ins Internet, sondern über den VPN-Tunnel an das andere Ende, das bei mir auf der Fritzbox hier in Deutschland liegt. Von hier aus geht der Verkehr also dann ins Internet und nimmt auch den umgekehrten Weg zurück. Der Zugriff auf Facebook geht also von China nach Deutschland und von hier aus zu Facebook (vermutlich nach Irland) und den gleichen Weg wieder zurück. Der Roundtrip dauert, wenn ich die Ping-Zeiten grob zusammenaddiere, ungefähr 1,5 Sekunden. Schöne neue Welt. Am faszinierendsten finden das übrigens unsere Eltern, für die so eine Story der Sicherstellung der interfamiliären Kommunikation auf IP-Transportebene schon eine fast schon magische Geschichte sein dürfte.


Beitrag veröffentlicht

in

von

Kommentare

32 Antworten zu „VPN aus China.“

  1. Avatar von HaWa
    HaWa

    Danke für den interessanten Beitrag!
    Mich interessiert noch ob es Erfahrungen gibt mit den Internetzugängen in Hotels?
    Evtl. ist dort der Zugang ja restriktiver geregelt als an privaten Anschlüssen…
    Ich habe vor zum Jahresende nach China zu fliegen und dann via Fritz!Box und VoIP “nach Hause telefonieren”…

    Hier in Deutschland stehen mit aktuell 3 F!B 7390 an unterschiedlichen Internetzugängen zur Verfügung. Nach China will ich eine 7170 mitnehmen. Die 7170 soll sich dann via VPN bei einer 7390 einwählen und dann als VoIP-Endgerät ebenfalls bei der 7390 registrieren. Anschließend soll dann von China aus via Smartphone-App oder einem Telefonendgerät hier nach Deutschland via VoIP telefoniert werden.

    Wie ist eure Einschätzung? Realisierbar oder dank der Restriktionen undenkbar?

    Danke vorab.

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Theoretisch sollte das gehen, praktisch wird es tatsächlich damit stehen oder fallen, wie restriktiv Firewalls in Hotels etc. konfiguriert sind. Das kann man leider letztendlich nur vor Ort testen. Sie könnten ggf. im Hotel nachfragen, da würde ich mich allerdings nicht auf die Auskünfte von Hotelpersonal verlassen.

  2. Avatar von Simon
    Simon

    Hallo,
    sitze gerade in China, genauer im Hotel in Lianyungang und habe über meine Fritzbox gerade in Deutschland angerufen.
    Ist also mit FritzFernzugang möglich!
    Was mich allerdings stark verwundert ist, dass ich obwohl ich eine deutsche IP von der Telekom habe, ich dennoch nicht auf Facebook komme.
    AVM benutzt doch IPSec, welches nach einer kurzen Recherche als unknackbar gilt. Deshalb halte ich es für unwahrscheinlich, dass die chinesen sogar VPN-Tunner entschlüsseln.

    Gruss

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Schaue mal, ob du ggf. Proxy-Einstellungen in deinem Browser hast oder ggf. Proxy-Software auf dem Rechner läuft.

      1. Avatar von Simon
        Simon

        nein, so wie ich im FireFox oder IE sehe ist kein Proxy aktiv. Viren- und Firewallsoftware ist auch aus. Versteh ich wirklich nicht…
        Funktioniert die Software FritzFernzugang! evtl. nicht richtig so das nicht alle Daten getunnelt werden?!

    2. Avatar von Eugen
      Eugen

      Hi, genau das gleiche Problem habe ich hier in China, Shandong. Die VPN verbindung mit der Fritzbox funktioniert tadellos. Wenn ich meine IP im inet überprüfe zeigt er eine Deutsche IP an! Viele Seiten, die vorher nicht funktioniert haben funktionieren mit dem VPN, z.B. kann ich nun auch Deutschers Fernsehen über zattoo schaun. Jeoch wird Facebook weiterhin geblockt. Auf Youtube kann ich zwar drauf und browsen, jedoch kann ich kein Video abspielen. Würde mich wirklich interessieren wie China verschlüsselte VPN verbindungen teilweise hackt.

      1. Avatar von Roland
        Roland

        Bin im Moment auch in China und habe das gleiche Problem wie ihr. Es zeigt mir auch die Schweizer IP an aber Facebook funktioniert trotzdem nicht. Mit OpenVPN über meine Synology fuktioniert es, jedoch unterbricht es mir dort immer wieder die Verbindung. Komisch ist das Facebook mit meinem Handy über die Fritzbox funktioniert.

        1. Avatar von Max
          Max

          Bei mir ist es ebenfalls so @Roland:
          Bin in Shanghai in meiner WG über Fritz!Fernzugang mit Deutscher IP online – Facebook, Youtube, Twitter, etc. gehen nicht, trotz deutscher IP.
          Bin ich mit meinem Android-Smartphone über die Fritz!Box mit deutscher IP online – gehen all die oben genannten Seiten bzw. Apps … woran kann das liegen? Ist das nicht ein nahezu gleicher Tunnel (von der Sicherheit her)?

          LG

          1. Avatar von Besim Karadeniz
            Besim Karadeniz

            Du wirst vermutlich auf dem PC den VPN-Tunnel so konfiguriert haben, dass nur der IP-Adressbereich der Box durch den Tunnel geroutet wird, während auf deinem Smartphone der Tunnel als Secure Gateway geroutet wird, also der gesamte Datenverkehr des Notebooks durch den Tunnel geleitet wird. Im Einrichtungsdialog bei “Fritzbox Fernzugang einrichten” wird dahingehend eine Option abgefragt.

        2. Avatar von Max
          Max

          Ach ja und die deutschen Mediatheken (ARD/ZDF) funktionieren einwandfrei, was mir zeigt, dass die Deutsche IP schon im Netz “erkannt” wird.

          1. Avatar von Max
            Max

            Hallo Besim,
            leider ist das nicht mein Problem. Habe bei beiden Konfigurationen den Haken gesetzt. Um das Problem auszuschließen, habe ich es auch wiederholt und extra darauf geachtet. Danke für deinen Tipp, hast du noch einen 😉
            Wie schon gesagt, auf dem Handy geht alles, auf dem PC wird die deutsche IP angezeigt, ARD/ZDF-Mediatheken laufen 1a, aber unerwünschte Seiten für die chinesische Regierung (Facebook, Youtube, Twitter habe ich Probiert) werden nicht geladen.
            Danke für eure Tipps.

  3. Avatar von Max
    Max

    Hallo Besim,

    diese Option hatte ich sowohl beim PC- als auch beim Android-Zugang aktiviert. Habe es jetzt auch nochmal konfiguriert, um das Problem auszuschließen. Ich bin wirklich mit dem Latein am Ende. Gleiches Einrichten am PC und Smartphone, aber jeweils andere Wirkung – doofe Firewall der Chinesen – Mauern scheinen sie gut bauen zu können 😉

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Du könntest mal mit dem Befehl traceroute (in Windows in der DOS-Box “tracert”) testen, wie der Weg zu einzelnen Hosts geht. Z.B. zu Heise.de

      tracert http://www.heise.de

      Geht der Weg durch den Tunnel, erscheinen relativ wenige Hops und keine chinesischen Hosts auf dem Zwischenweg. Geht der Weg nicht durch den Tunnel, sondern über den normalen Weg, dann hast du normalerweise eine ganze Latte von Zwischenstationen.

      Du kannst auch gern mal den Output hier als Kommentar posten, dann schaue ich mir das mal an.

      1. Avatar von Max
        Max

        1. Versuch: Ohne Tunnel:

        Routenverfolgung zu http://www.heise.de [193.99.144.85] über maximal 30 Abschnitte:

        1 9 ms * 7 ms bogon [10.115.32.1]
        2 15 ms * 9 ms bogon [10.115.32.1]
        3 5 ms * 3 ms bogon [10.102.6.1]
        4 6 ms * 3 ms 120.90.2.33
        5 3 ms * 8 ms . [120.204.238.142]
        6 6 ms * 7 ms 222.44.1.181
        7 8 ms * 36 ms 222.44.0.21
        8 7 ms * 6 ms 222.44.1.33
        9 39 ms * 42 ms 61.237.126.122
        10 39 ms * 38 ms 61.237.123.210
        11 42 ms * 39 ms pos9-3.cr02.hkg04.pccwbtn.net [63.218.252.9]
        12 312 ms 312 ms 313 ms tenge3-4.br02.frf02.pccwbtn.net [63.218.230.74]

        13 317 ms 315 ms 313 ms tenge3-4.br02.frf02.pccwbtn.net [63.218.230.74]

        14 310 ms 313 ms 313 ms te3-1.c101.f.de.plusline.net [80.81.192.132]
        15 310 ms 310 ms 319 ms heise2.f.de.plusline.net [82.98.98.106]
        16 310 ms 309 ms 310 ms http://www.heise.de [193.99.144.85]

        Ablaufverfolgung beendet.

        1. Avatar von Besim Karadeniz
          Besim Karadeniz

          Das ist soweit plausibel.

      2. Avatar von Max
        Max

        2. Versuch: Mit Tunnel:

        Routenverfolgung zu http://www.heise.de [193.99.144.85] über maximal 30 Abschnitte:

        1 295 ms 295 ms 295 ms http://www.heise.de [193.99.144.85]
        2 303 ms 302 ms 301 ms http://www.heise.de [193.99.144.85]
        3 304 ms 297 ms 294 ms http://www.heise.de [193.99.144.85]
        4 310 ms 310 ms 302 ms http://www.heise.de [193.99.144.85]
        5 305 ms 301 ms 305 ms http://www.heise.de [193.99.144.85]
        6 313 ms 307 ms 306 ms http://www.heise.de [193.99.144.85]
        7 322 ms 326 ms 317 ms http://www.heise.de [193.99.144.85]
        8 317 ms 324 ms 324 ms http://www.heise.de [193.99.144.85]
        9 330 ms 327 ms 323 ms http://www.heise.de [193.99.144.85]
        10 324 ms 319 ms 321 ms http://www.heise.de [193.99.144.85]
        11 322 ms 327 ms 332 ms http://www.heise.de [193.99.144.85]

        Ablaufverfolgung beendet.

        1. Avatar von Besim Karadeniz
          Besim Karadeniz

          Das ist eigentlich auch in Ordnung. Der traceroute beginnt korrekt von der IP-Adresse des Routers in Deutschland.

      3. Avatar von Max
        Max

        Hallo Besim,
        danke für deine Hilfe!
        Habe den Output in meine Dropbox gelegt, wenn du willst, kannst du mal drüber schauen und deine Meinung abgeben. So richtig schlau daraus werde ich nicht, man erkennt nur, dass bei Facebook trotz Tunnel ein Umweg gemacht wird, der im Endlosen endet … 🙁

        https://dl.dropboxusercontent.com/u/51263538/TraceRT%20Heise_FB.docx

        1. Avatar von Besim Karadeniz
          Besim Karadeniz

          Uhm, irgendetwas stimmt da nicht, möglicherweise hast du ein Problem auf deinem Rechner.

          Nämlich: http://www.facebook.com hat bei dir auf die IP-Adresse 37.61.54.158 aufgelöst. Das ist eine IP-Adresse von “BakTelekom”, einem aserbaidschanischen Internet Provider. Ich glaube kaum, dass hier Facebook hostet…

          Mache mal auf deinem Rechner in der DOS-Box ein nslookup auf http://www.facebook.com und schaue nach dem Ergebnis. Wenn die obige IP-Adresse dabei herauskommt, ist an deinem Rechner irgendwo der Wurm drin.

  4. Avatar von Max
    Max

    Uh, das klingt ja nicht gerade toll… mit der nächsten Auswertung kann ich aber leider nichts anfangen, hier:

    nslookup http://www.facebook.com

    Server: cache1-sh
    Address: 211.98.4.1

    Nicht autorisierende Antwort:
    Name: http://www.facebook.com.hs-merseburg.de
    Address: 211.98.70.194

    Zur Information: hs-merseburg.de ist eine meiner Mailadressen, aber was hat die mit FB zu tun?? o.O

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Okay, hier antwortet als Nameserver ein chinesischer Server (211.98.4.1 ist in China registriert). Der antwortet natürlich, wie es ihm beliebt und Facebook leitet er auf Baidu weiter. Der Hostname mit “hs-merseburg.de” sollte dich nicht weiter stören, das greift der Nameserver irgendwo bei der Anfrage von deinem Rechner ab und bastelt sich einen fingierten Hostnamen zusammen. Er antwortet mit einer IP-Adresse (des Baidu-Servers), das ist das einzig ausschlaggebende.

      Vorschlag: Rechner neu starten, Netzverbindung aufbauen, VPN-Verbindung aufbauen. Danach in den Diensten (Systemsteuerung –> Verwaltung) den DNS-Dienst neu starten und dann versuchen. Dann sollte nämlich die Namensauflösung ebenfalls über den Tunnel gehen und der Neustart des DNS-Dienstes sorgt dafür, dass bis zum Neustart vorgenommene Namensauflösungen im Cache gelöscht werden.

  5. Avatar von Max
    Max

    Okay habe ich gemacht, Neustart PC, Verbindung + Tunnel aufgebaut und dann den DNS-Dienst neu gestartet.
    Jetzt kommt exakt das selbe Ergebnis heraus, sowohl bei nslookup als auch bei tracert 🙁
    Doch ein Wurm? Denn du hast Recht, die eine IP beim FB-Aufruf ist in Baku lokalisiert … doch haben meine Fritzbox, die chinesische Regierung und Facebook doch sicher keine Verbindung zu Baku, oder wie kann das kommen?
    Bei Twitter.com bekomme ich eine IP aus den USA: 8.7.198.45
    Bei Youtube.com eine aus den USA: 159.106.121.75. Dabei fällt mir auf, dass bei Youtube die Routenverfolgung zu “Youtube-ui-china.l.google.com” geht … was ist denn da schon wieder faul?

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Gut, eine DNS-Analyse fällt schwer, ich würde grundsätzlich einem chinesischen Nameserver nicht über den Weg trauen. Zu einfach ist das DNS manipulierbar und mich würde es wundern, wenn es nicht zu einem Kernelement der “Großen Firewall” gehören würde, das DNS zu manipulieren.

      Bei dem YouTube-Link schaut es so aus, dass hier zwar ein Google-Server erreicht wird, der aber explizit für chinesische Besucher zu dienen scheint. Was Google darauf treibt, wird sich uns entschließen.

      Faktum: Deine VPN-Lösung läuft nicht wirklich so recht rund bzw. es lässt sich wohl relativ sicher auf die DNS-Auflösung eingrenzen. Du könntest bei deiner Netzwerkverbindung alternative Nameserver verwenden, z.B. die von Google für solche Zwecke (8.8.8.8 und 8.8.4.4). Diese Nameserver werden mit ziemlicher Sicherheit nur über den VPN-Tunnel funktionieren, die Chinesen werden das sicher blockieren.

      1. Avatar von Max
        Max

        Hier nochmal die Bitte um Kontaktaufnahme.
        Ich wäre dir wirklich sehr dankbar!
        Liebe Grüße aus Fernost.
        Max

        1. Avatar von Besim Karadeniz
          Besim Karadeniz

          Ich kann da keinen individuellen Support geben, da fehlt mir echt die Zeit dazu. Im Prinzip ist schon vieles gesagt: Tunnel überprüfen, schauen, ob das Standardgateway (“0.0.0.0”) auf die interne IP-Adresse deines Routers in DE zeigt (mit “route print” in einer DOS-Box) und dann, wenn der Tunnel steht, einen DNS-Server außerhalb Chinas verwenden (z.B. 8.8.8.8 für einen DNS-Server von Google). Einen DNS-Server kannst du, je nach VPN-Client, auch direkt in der Client-Verbindungseinstellung eintragen.

  6. Avatar von Max
    Max

    Hallo Besim,

    danke für deinen tollen Support.
    Wäre es vielleicht möglich, dass wir im Skype oder Ähnlichem weiter schauen? Dort kannst du mich (Nick: maxoro) gerne hinzufügen. Das wäre super, wenn ich dir in irgendeiner Form helfen kann, tu ich das natürlich auch gerne 🙂

    Danke schon mal!
    An die anderen: Wenn ich eine Lösung gefunden habe, schreibe ich diese natürlich wieder hier rein!

    LG Maxe

  7. Avatar von Magio
    Magio

    Das ist die Lösung: Nach aufgebauter VPN Verbindung einfach in den Verbindungseinstellungen der Netzwerkverbindung den DNS Server auf den von Google stellen.

    #primaryServer: 8.8.8.8
    #secondaryServer: 8.8.4.4

    Dann sollte es funktionieren.

  8. Avatar von Bernhard
    Bernhard

    Hallo,
    ich fahre nächste Woche nach Peking und Shanghai. Kann jemand bestätigen, ob man derzeit noch das VPN über eine Fritzbox benutzen kann? Ich habe gelesen, dass die große Firewall IPsec blockiert…
    Danke und Gruß,
    Bernhard

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Dazu ist der Artikel dann leider schon zu alt. Meine Informationen sind die, dass die chinesischen Behörden durchaus in der Lage sind, übliche IPSec-VPN-Tunnel zu erkennen und zu blocken und die meisten öffentlichen Zugänge per se VPNs blockieren bzw. behindern.

      1. Avatar von Bernhard
        Bernhard

        Hallo nochmal,
        Ich bin jetzt zurückgekommen von einer 17-tägigen China Reise und der VPN-Tunnel über meine Fritzbox hat bis auf einen einzigen Nachmittag gut funktioniert (manchmal alleredings erst beim zweiten/dritten Verbindungsversuch). Und das sogar, obwohl ich während des Parteitages in Peking war. Auch von Shanghai/Macau gab es keine Probleme.
        Viele Grüße
        Bernhard

      2. Avatar von Peter
        Peter

        Hallo,
        kann es nach meiner Rückkehr am 29.03.18 bestätigen: VPN zu meiner Fritzbox lief immer einwandfrei, sowohl aus dem Hotel (gerouted über Hongkong) als auch vom Handy aus. Damit also jederzeit Zugriff auf nicht-chinesisches Kartenmaterial, meine Mailbox und Telefongespräche zu Zuhause gewohnten Tarifen.
        Grüße, Peter

  9. Avatar von robbb
    robbb

    Na dann werde ich das kommende Woche auch mal testen, hab mein Fritz!BoxVPN gerade eingerichtet und fliege am Samstag. Ich geb euch dann gerne Bescheid.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Letzte Beiträge
Schlagwortwolke

Android Barack Obama Bloggen Blogroll Bundesregierung CDU Facebook Fatal Error Google iPhone Online-Sperre Pforzheim Politik 2.0 PS3 Social Networking SPD Testbericht Twitter Update Video Wahlkampf Web 2.0 Werbung WordPress ZDF

Archiv
Seiten