Linux Frage VPN - 'Internet Kill Switch'

dodo

Anonymer Universaldilettant
Liebe Linux-Kenner,

ich gehe unter Ubuntu 20.04 standardmäßig über eine OVPN-Verbindung ins Internet. Leider kommt es ab und an vor, dass diese Verbindung beendet wird, ohne dass ich es sofort bemerke und somit ungewollt eine direkte Verbindung ins Netz habe.
Ich würde gerne bewerkstelligen, dass bei einem Verlust der OVPN-Verbindung mein Netzwerkzugang automatisch deaktiviert wird (und erst manuell wieder zu aktivieren wäre). Leider bietet mein VPN-Provider von sich aus keinen Service dieser Art ('Internet Kill Switch').
Wie lässt sich so etwas auf BS-Ebene realisieren, notfalls auch durch zusätzliche Software?
Für eure konkret am Thema orientierten Hinweise bin ich schon jetzt dankbar.

P.S.: Meine Anfrage richtet sich ausdrücklich und ausschließlich an Leute, die substanzielle Hilfe leisten können. Allen Anderen danke ich aber auch vorsorglich für ihre unterdrückten Antworten. Bitte keine 'gestolperte Links' oder anderweitig frei assoziierte Beiträge in diesem Thread.
 

silverrider

The One and Only
Hmmm, war das nicht im OVPN-Client einstellbar, jedenfalls schlagen gerade meine grauen Zellen Alarm?!

Ansonsten hilft vieleicht:
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Das könntest du über die up und down scripts von ovpn lösen. Bei down einfach die default-route auf irgendetwas Unerreichbares setzen. Damit wäre das LAN noch erreichbar, das Internet aber nicht mehr. Dann könntest du "per Hand" die default-route auf deinen Router setzen, wenn du z.B. ausserhalb des VPN Banking machen willst.
 

silverrider

The One and Only
Wahlweise würde ich das Banking getrennt auf einem Bootstick nutzen und so das Business vom Spaßrechner trennen?
Ist jetzt keine Softwarelösung für dein Thema, spricht aber eh vieles dafür!

Oder du nutzt dann z.B. Qubes als OS und trennst die Party schon im OS auf?

 

eumel_1

Der Reisende
Man sollte generell die ernsthaften Anwendungen (mit echter Identität) vom nennen wir es mal "Spaß" trennen.
Ich empfehle dafür andere Hardware, also ein (kann auch ein billiges sein) Rechner fürs Banking und die Otto-Bestellung und einen anderen Rechner für den "Rest".
 

dodo

Anonymer Universaldilettant
@silverrider
@ibinsfei

Vielen Dank für eure Softwarehinweise. Ich habe ein Script gefunden, das die Firewall-Berechtigungen des Netzzugangs von tun0 setzt.
Bash:
#!/bin/bash
 
# process arguments
while getopts ":edt:" opt; do
    case ${opt} in
        e)
            # ENABLE KILLSWITCH
            # Default policies
            sudo ufw default deny incoming
            sudo ufw default deny outgoing
            
            # Openvpn interface (adjust interface accordingly to your configuration)
            sudo ufw allow out on tun0
 
            # Openvpn (adjust port accordingly to your vpn setup)
            sudo ufw allow out to any port 1194
            ;;
        d)
            # DISABLE KILLSWITCH
            sudo ufw --force reset
            sudo ufw enable
 
            # delete backUP rules from reset
            sudo /usr/bin/rm /etc/ufw/*.rules.*
            
            # reset to defaults and enable
            sudo ufw default deny incoming
            sudo ufw default allow outgoing
            ;;
        t)
            # ADD OUTGOING RULE
            echo "allow outgoing traffic to $OPTARG"
            sudo ufw allow out to $OPTARG
            ;;
    esac
done
 
if (( $OPTIND == 1 )); then
    echo " "
    echo -e "Please provide at least one of the following options:\n    -e"
    echo "        enable killswitch"
    echo "    -d"
    echo "        disable killswitch"
    echo "    -t [CIDR]"
    echo -e "        open outgoing ufw rule to a specific CIDR (ip address or range)\n"
fi

Das genügt meinen Minimalansprüchen, ist aber recht unkomfortabel beim manuellen Umschalten. Für's erste bin ich aber damit zufrieden.
 
Oben Unten