VPN aus China.

Der kleine VPN-Secure-Gateway-Erfahrungsbericht von heute hat natürlich einen Hintergrund. Es ist sozusagen ein langgehegter Sysadmin-Wunsch in Erfüllung gegangen, in dem meine Schwester, die zur Zeit im Fernen Osten weilt, in Shanghai aufgeschlagen ist und auf ihrem iPhone keinen Zugriff auf Facebook mehr hatte. Tja, so erlebt man als Bürger eines westlichen Staates die staatliche Reglementierung der öffentlichen Meinung am eigenen Leib.

Über normale Wege hilft da nichts, denn die Blockierung von Websites erfolgt im Falle von Facebook offensichtlich durch die Blockierung der von Facebook verwendeten IP-Adressen. Da hilft dann auch kein SSL, denn wenn man eine IP-Adresse erst gar nicht erreichen kann, hilft da auch die beste Verschlüsselung nicht. Also musste gestern mal wieder auf bewährte Weise meine Fritzbox ran, die ja eben VPN-Funktionalitäten mitbringt und mit dem VPN-Client des iPhone auch ganz gut harmoniert.

Zugang auf der Fritzbox eingerichtet, meiner Schwester die Daten zukommen lassen (und natürlich das Passwort nicht in Klartext, wir sind ja paranoid!). Und schon beim zweiten Anlauf funktionierte der VPN-Tunnel anstandslos, was sehr schön am Homescreen zu erkennen ist (man achte auf das kleine VPN-Symbol in der Informationsleiste):

IPSec bzw. Internet-Key-Exchange (IKE) laufen standardmäßig über UDP-Port 500 und der scheint auch tatsächlich nicht gesperrt zu sein von der IP-Adresse aus, von der meine Schwester ins Internet hineinstolpert (China Telecom).

Der Weg aller Daten ist nun folgender: Ist der VPN-Tunnel etabliert, wandern alle Daten, die das iPhone ins Internet abkippen möchte, nicht direkt ins Internet, sondern über den VPN-Tunnel an das andere Ende, das bei mir auf der Fritzbox hier in Deutschland liegt. Von hier aus geht der Verkehr also dann ins Internet und nimmt auch den umgekehrten Weg zurück. Der Zugriff auf Facebook geht also von China nach Deutschland und von hier aus zu Facebook (vermutlich nach Irland) und den gleichen Weg wieder zurück. Der Roundtrip dauert, wenn ich die Ping-Zeiten grob zusammenaddiere, ungefähr 1,5 Sekunden. Schöne neue Welt. Am faszinierendsten finden das übrigens unsere Eltern, für die so eine Story der Sicherstellung der interfamiliären Kommunikation auf IP-Transportebene schon eine fast schon magische Geschichte sein dürfte.

27 Gedanken zu „VPN aus China.

  1. Danke für den interessanten Beitrag!
    Mich interessiert noch ob es Erfahrungen gibt mit den Internetzugängen in Hotels?
    Evtl. ist dort der Zugang ja restriktiver geregelt als an privaten Anschlüssen…
    Ich habe vor zum Jahresende nach China zu fliegen und dann via Fritz!Box und VoIP „nach Hause telefonieren“…

    Hier in Deutschland stehen mit aktuell 3 F!B 7390 an unterschiedlichen Internetzugängen zur Verfügung. Nach China will ich eine 7170 mitnehmen. Die 7170 soll sich dann via VPN bei einer 7390 einwählen und dann als VoIP-Endgerät ebenfalls bei der 7390 registrieren. Anschließend soll dann von China aus via Smartphone-App oder einem Telefonendgerät hier nach Deutschland via VoIP telefoniert werden.

    Wie ist eure Einschätzung? Realisierbar oder dank der Restriktionen undenkbar?

    Danke vorab.

    1. Theoretisch sollte das gehen, praktisch wird es tatsächlich damit stehen oder fallen, wie restriktiv Firewalls in Hotels etc. konfiguriert sind. Das kann man leider letztendlich nur vor Ort testen. Sie könnten ggf. im Hotel nachfragen, da würde ich mich allerdings nicht auf die Auskünfte von Hotelpersonal verlassen.

  2. Hallo,
    sitze gerade in China, genauer im Hotel in Lianyungang und habe über meine Fritzbox gerade in Deutschland angerufen.
    Ist also mit FritzFernzugang möglich!
    Was mich allerdings stark verwundert ist, dass ich obwohl ich eine deutsche IP von der Telekom habe, ich dennoch nicht auf Facebook komme.
    AVM benutzt doch IPSec, welches nach einer kurzen Recherche als unknackbar gilt. Deshalb halte ich es für unwahrscheinlich, dass die chinesen sogar VPN-Tunner entschlüsseln.

    Gruss

      1. nein, so wie ich im FireFox oder IE sehe ist kein Proxy aktiv. Viren- und Firewallsoftware ist auch aus. Versteh ich wirklich nicht…
        Funktioniert die Software FritzFernzugang! evtl. nicht richtig so das nicht alle Daten getunnelt werden?!

    1. Hi, genau das gleiche Problem habe ich hier in China, Shandong. Die VPN verbindung mit der Fritzbox funktioniert tadellos. Wenn ich meine IP im inet überprüfe zeigt er eine Deutsche IP an! Viele Seiten, die vorher nicht funktioniert haben funktionieren mit dem VPN, z.B. kann ich nun auch Deutschers Fernsehen über zattoo schaun. Jeoch wird Facebook weiterhin geblockt. Auf Youtube kann ich zwar drauf und browsen, jedoch kann ich kein Video abspielen. Würde mich wirklich interessieren wie China verschlüsselte VPN verbindungen teilweise hackt.

      1. Bin im Moment auch in China und habe das gleiche Problem wie ihr. Es zeigt mir auch die Schweizer IP an aber Facebook funktioniert trotzdem nicht. Mit OpenVPN über meine Synology fuktioniert es, jedoch unterbricht es mir dort immer wieder die Verbindung. Komisch ist das Facebook mit meinem Handy über die Fritzbox funktioniert.

        1. Bei mir ist es ebenfalls so @Roland:
          Bin in Shanghai in meiner WG über Fritz!Fernzugang mit Deutscher IP online – Facebook, Youtube, Twitter, etc. gehen nicht, trotz deutscher IP.
          Bin ich mit meinem Android-Smartphone über die Fritz!Box mit deutscher IP online – gehen all die oben genannten Seiten bzw. Apps … woran kann das liegen? Ist das nicht ein nahezu gleicher Tunnel (von der Sicherheit her)?

          LG

          1. Du wirst vermutlich auf dem PC den VPN-Tunnel so konfiguriert haben, dass nur der IP-Adressbereich der Box durch den Tunnel geroutet wird, während auf deinem Smartphone der Tunnel als Secure Gateway geroutet wird, also der gesamte Datenverkehr des Notebooks durch den Tunnel geleitet wird. Im Einrichtungsdialog bei „Fritzbox Fernzugang einrichten“ wird dahingehend eine Option abgefragt.

        2. Ach ja und die deutschen Mediatheken (ARD/ZDF) funktionieren einwandfrei, was mir zeigt, dass die Deutsche IP schon im Netz „erkannt“ wird.

          1. Hallo Besim,
            leider ist das nicht mein Problem. Habe bei beiden Konfigurationen den Haken gesetzt. Um das Problem auszuschließen, habe ich es auch wiederholt und extra darauf geachtet. Danke für deinen Tipp, hast du noch einen 😉
            Wie schon gesagt, auf dem Handy geht alles, auf dem PC wird die deutsche IP angezeigt, ARD/ZDF-Mediatheken laufen 1a, aber unerwünschte Seiten für die chinesische Regierung (Facebook, Youtube, Twitter habe ich Probiert) werden nicht geladen.
            Danke für eure Tipps.

  3. Hallo Besim,

    diese Option hatte ich sowohl beim PC- als auch beim Android-Zugang aktiviert. Habe es jetzt auch nochmal konfiguriert, um das Problem auszuschließen. Ich bin wirklich mit dem Latein am Ende. Gleiches Einrichten am PC und Smartphone, aber jeweils andere Wirkung – doofe Firewall der Chinesen – Mauern scheinen sie gut bauen zu können 😉

    1. Du könntest mal mit dem Befehl traceroute (in Windows in der DOS-Box „tracert“) testen, wie der Weg zu einzelnen Hosts geht. Z.B. zu Heise.de

      tracert http://www.heise.de

      Geht der Weg durch den Tunnel, erscheinen relativ wenige Hops und keine chinesischen Hosts auf dem Zwischenweg. Geht der Weg nicht durch den Tunnel, sondern über den normalen Weg, dann hast du normalerweise eine ganze Latte von Zwischenstationen.

      Du kannst auch gern mal den Output hier als Kommentar posten, dann schaue ich mir das mal an.

      1. 1. Versuch: Ohne Tunnel:

        Routenverfolgung zu http://www.heise.de [193.99.144.85] über maximal 30 Abschnitte:

        1 9 ms * 7 ms bogon [10.115.32.1]
        2 15 ms * 9 ms bogon [10.115.32.1]
        3 5 ms * 3 ms bogon [10.102.6.1]
        4 6 ms * 3 ms 120.90.2.33
        5 3 ms * 8 ms . [120.204.238.142]
        6 6 ms * 7 ms 222.44.1.181
        7 8 ms * 36 ms 222.44.0.21
        8 7 ms * 6 ms 222.44.1.33
        9 39 ms * 42 ms 61.237.126.122
        10 39 ms * 38 ms 61.237.123.210
        11 42 ms * 39 ms pos9-3.cr02.hkg04.pccwbtn.net [63.218.252.9]
        12 312 ms 312 ms 313 ms tenge3-4.br02.frf02.pccwbtn.net [63.218.230.74]

        13 317 ms 315 ms 313 ms tenge3-4.br02.frf02.pccwbtn.net [63.218.230.74]

        14 310 ms 313 ms 313 ms te3-1.c101.f.de.plusline.net [80.81.192.132]
        15 310 ms 310 ms 319 ms heise2.f.de.plusline.net [82.98.98.106]
        16 310 ms 309 ms 310 ms http://www.heise.de [193.99.144.85]

        Ablaufverfolgung beendet.

      2. 2. Versuch: Mit Tunnel:

        Routenverfolgung zu http://www.heise.de [193.99.144.85] über maximal 30 Abschnitte:

        1 295 ms 295 ms 295 ms http://www.heise.de [193.99.144.85]
        2 303 ms 302 ms 301 ms http://www.heise.de [193.99.144.85]
        3 304 ms 297 ms 294 ms http://www.heise.de [193.99.144.85]
        4 310 ms 310 ms 302 ms http://www.heise.de [193.99.144.85]
        5 305 ms 301 ms 305 ms http://www.heise.de [193.99.144.85]
        6 313 ms 307 ms 306 ms http://www.heise.de [193.99.144.85]
        7 322 ms 326 ms 317 ms http://www.heise.de [193.99.144.85]
        8 317 ms 324 ms 324 ms http://www.heise.de [193.99.144.85]
        9 330 ms 327 ms 323 ms http://www.heise.de [193.99.144.85]
        10 324 ms 319 ms 321 ms http://www.heise.de [193.99.144.85]
        11 322 ms 327 ms 332 ms http://www.heise.de [193.99.144.85]

        Ablaufverfolgung beendet.

        1. Uhm, irgendetwas stimmt da nicht, möglicherweise hast du ein Problem auf deinem Rechner.

          Nämlich: http://www.facebook.com hat bei dir auf die IP-Adresse 37.61.54.158 aufgelöst. Das ist eine IP-Adresse von „BakTelekom“, einem aserbaidschanischen Internet Provider. Ich glaube kaum, dass hier Facebook hostet…

          Mache mal auf deinem Rechner in der DOS-Box ein nslookup auf http://www.facebook.com und schaue nach dem Ergebnis. Wenn die obige IP-Adresse dabei herauskommt, ist an deinem Rechner irgendwo der Wurm drin.

    1. Okay, hier antwortet als Nameserver ein chinesischer Server (211.98.4.1 ist in China registriert). Der antwortet natürlich, wie es ihm beliebt und Facebook leitet er auf Baidu weiter. Der Hostname mit „hs-merseburg.de“ sollte dich nicht weiter stören, das greift der Nameserver irgendwo bei der Anfrage von deinem Rechner ab und bastelt sich einen fingierten Hostnamen zusammen. Er antwortet mit einer IP-Adresse (des Baidu-Servers), das ist das einzig ausschlaggebende.

      Vorschlag: Rechner neu starten, Netzverbindung aufbauen, VPN-Verbindung aufbauen. Danach in den Diensten (Systemsteuerung –> Verwaltung) den DNS-Dienst neu starten und dann versuchen. Dann sollte nämlich die Namensauflösung ebenfalls über den Tunnel gehen und der Neustart des DNS-Dienstes sorgt dafür, dass bis zum Neustart vorgenommene Namensauflösungen im Cache gelöscht werden.

  4. Okay habe ich gemacht, Neustart PC, Verbindung + Tunnel aufgebaut und dann den DNS-Dienst neu gestartet.
    Jetzt kommt exakt das selbe Ergebnis heraus, sowohl bei nslookup als auch bei tracert 🙁
    Doch ein Wurm? Denn du hast Recht, die eine IP beim FB-Aufruf ist in Baku lokalisiert … doch haben meine Fritzbox, die chinesische Regierung und Facebook doch sicher keine Verbindung zu Baku, oder wie kann das kommen?
    Bei Twitter.com bekomme ich eine IP aus den USA: 8.7.198.45
    Bei Youtube.com eine aus den USA: 159.106.121.75. Dabei fällt mir auf, dass bei Youtube die Routenverfolgung zu „Youtube-ui-china.l.google.com“ geht … was ist denn da schon wieder faul?

    1. Gut, eine DNS-Analyse fällt schwer, ich würde grundsätzlich einem chinesischen Nameserver nicht über den Weg trauen. Zu einfach ist das DNS manipulierbar und mich würde es wundern, wenn es nicht zu einem Kernelement der „Großen Firewall“ gehören würde, das DNS zu manipulieren.

      Bei dem YouTube-Link schaut es so aus, dass hier zwar ein Google-Server erreicht wird, der aber explizit für chinesische Besucher zu dienen scheint. Was Google darauf treibt, wird sich uns entschließen.

      Faktum: Deine VPN-Lösung läuft nicht wirklich so recht rund bzw. es lässt sich wohl relativ sicher auf die DNS-Auflösung eingrenzen. Du könntest bei deiner Netzwerkverbindung alternative Nameserver verwenden, z.B. die von Google für solche Zwecke (8.8.8.8 und 8.8.4.4). Diese Nameserver werden mit ziemlicher Sicherheit nur über den VPN-Tunnel funktionieren, die Chinesen werden das sicher blockieren.

        1. Ich kann da keinen individuellen Support geben, da fehlt mir echt die Zeit dazu. Im Prinzip ist schon vieles gesagt: Tunnel überprüfen, schauen, ob das Standardgateway („0.0.0.0“) auf die interne IP-Adresse deines Routers in DE zeigt (mit „route print“ in einer DOS-Box) und dann, wenn der Tunnel steht, einen DNS-Server außerhalb Chinas verwenden (z.B. 8.8.8.8 für einen DNS-Server von Google). Einen DNS-Server kannst du, je nach VPN-Client, auch direkt in der Client-Verbindungseinstellung eintragen.

  5. Hallo Besim,

    danke für deinen tollen Support.
    Wäre es vielleicht möglich, dass wir im Skype oder Ähnlichem weiter schauen? Dort kannst du mich (Nick: maxoro) gerne hinzufügen. Das wäre super, wenn ich dir in irgendeiner Form helfen kann, tu ich das natürlich auch gerne 🙂

    Danke schon mal!
    An die anderen: Wenn ich eine Lösung gefunden habe, schreibe ich diese natürlich wieder hier rein!

    LG Maxe

  6. Das ist die Lösung: Nach aufgebauter VPN Verbindung einfach in den Verbindungseinstellungen der Netzwerkverbindung den DNS Server auf den von Google stellen.

    #primaryServer: 8.8.8.8
    #secondaryServer: 8.8.4.4

    Dann sollte es funktionieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *