Linux Frage VPN - 'Internet Kill Switch'

[dodo]

Liebe Linux-Kenner,

ich gehe unter Ubuntu 20.04 standardmäßig über eine OVPN-Verbindung ins Internet. Leider kommt es ab und an vor, dass diese Verbindung beendet wird, ohne dass ich es sofort bemerke und somit ungewollt eine direkte Verbindung ins Netz habe.
Ich würde gerne bewerkstelligen, dass bei einem Verlust der OVPN-Verbindung mein Netzwerkzugang automatisch deaktiviert wird (und erst manuell wieder zu aktivieren wäre). Leider bietet mein VPN-Provider von sich aus keinen Service dieser Art ('Internet Kill Switch').
Wie lässt sich so etwas auf BS-Ebene realisieren, notfalls auch durch zusätzliche Software?
Für eure konkret am Thema orientierten Hinweise bin ich schon jetzt dankbar.

P.S.: Meine Anfrage richtet sich ausdrücklich und ausschließlich an Leute, die substanzielle Hilfe leisten können. Allen Anderen danke ich aber auch vorsorglich für ihre unterdrückten Antworten. Bitte keine 'gestolperte Links' oder anderweitig frei assoziierte Beiträge in diesem Thread.

 

[silverrider]

Hmmm, war das nicht im OVPN-Client einstellbar, jedenfalls schlagen gerade meine grauen Zellen Alarm?!

Ansonsten hilft vieleicht:

OpenVPN kill switch on Linux

How to prevent IP leak on Linux when OpenVPN fails to connect to the server while I am surfing on the net? I read about kill switch, but after some internet searches I found out that is not

(https://security.stackexchange.com/questions/183177/openvpn-kill-switch-on-linux)

 

[dodo]

... war das nicht im OVPN-Client einstellbar...

In meinem leider nicht.

Ansonsten hilft vieleicht: ... (stackexchange)...

Diese Lösung beschränkt den Netzzugang leider GENERELL auf VPN. Für Ausnahmefälle (Banking u.ä.) benötige ich aber auch die Möglichkeit, 'mal eben schnell ohne VPN' ins Netz zu gehen.

 

[ibinsfei]

Das könntest du über die up und down scripts von ovpn lösen. Bei down einfach die default-route auf irgendetwas Unerreichbares setzen. Damit wäre das LAN noch erreichbar, das Internet aber nicht mehr. Dann könntest du "per Hand" die default-route auf deinen Router setzen, wenn du z.B. ausserhalb des VPN Banking machen willst.

 

[silverrider]

Wahlweise würde ich das Banking getrennt auf einem Bootstick nutzen und so das Business vom Spaßrechner trennen?
Ist jetzt keine Softwarelösung für dein Thema, spricht aber eh vieles dafür!

Oder du nutzt dann z.B. Qubes als OS und trennst die Party schon im OS auf?

Qubes OS: A reasonably secure operating system

Qubes is a security-oriented, free and open-source operating system for personal computers that allows you to securely compartmentalize your digital life.

(https://www.qubes-os.org)

 

[eumel_1]

Man sollte generell die ernsthaften Anwendungen (mit echter Identität) vom nennen wir es mal "Spaß" trennen.
Ich empfehle dafür andere Hardware, also ein (kann auch ein billiges sein) Rechner fürs Banking und die Otto-Bestellung und einen anderen Rechner für den "Rest".

 

[dodo]

@silverrider
@ibinsfei

Vielen Dank für eure Softwarehinweise. Ich habe ein Script gefunden, das die Firewall-Berechtigungen des Netzzugangs von tun0 setzt.

Spoiler: Listing

#!/bin/bash
 
# process arguments
while getopts ":edt:" opt; do
    case ${opt} in
        e)
            # ENABLE KILLSWITCH
            # Default policies
            sudo ufw default deny incoming
            sudo ufw default deny outgoing
            
            # Openvpn interface (adjust interface accordingly to your configuration)
            sudo ufw allow out on tun0
 
            # Openvpn (adjust port accordingly to your vpn setup)
            sudo ufw allow out to any port 1194
            ;;
        d)
            # DISABLE KILLSWITCH
            sudo ufw --force reset
            sudo ufw enable
 
            # delete backUP rules from reset
            sudo /usr/bin/rm /etc/ufw/*.rules.*
            
            # reset to defaults and enable
            sudo ufw default deny incoming
            sudo ufw default allow outgoing
            ;;
        t)
            # ADD OUTGOING RULE
            echo "allow outgoing traffic to $OPTARG"
            sudo ufw allow out to $OPTARG
            ;;
    esac
done
 
if (( $OPTIND == 1 )); then
    echo " "
    echo -e "Please provide at least one of the following options:\n    -e"
    echo "        enable killswitch"
    echo "    -d"
    echo "        disable killswitch"
    echo "    -t [CIDR]"
    echo -e "        open outgoing ufw rule to a specific CIDR (ip address or range)\n"
fi

Das genügt meinen Minimalansprüchen, ist aber recht unkomfortabel beim manuellen Umschalten. Für's erste bin ich aber damit zufrieden.

 

[Brian]

Wenn Du den Networkmanager für Deine VPN Geschichten nutzt, dann kannst du auch einen automatischen Switch benutzen. Ich schalte darüber z.B. IPv6 aus, da das bei VPN keinen Sinn macht. Du könntest da natürlich auch Deine Firewall automatisch hoch und wieder runter nehmen.

#!/bin/bash
# Should be placed there:
# /etc/NetworkManager/dispatcher.d/99vpn-ipv6-switch
# Network Manager Dispatcher Hook:
# enables/disables ipv6 on vpn-down/vpn-up respectively
#
# Copyright (c) 2017 ooknosi
# Apache License 2.0

# Args
INTERFACE="$1"
ACTION="$2"

case $ACTION in
    vpn-up)
    # vpn connected; disable ipv6
    sysctl -w net.ipv6.conf.all.disable_ipv6=1
    ### UNCOMMENT AND EDIT BELOW IF NECESSARY
    ## add pi-hole nameserver
    #echo -n "nameserver 192.168.1.1" | /sbin/resolvconf -a "tun0.openvpn"
    ### UNCOMMENT AND EDIT ABOVE IF NECESSARY
    ;;

    vpn-down)
    # vpn disconnected; enable ipv6
    sysctl -w net.ipv6.conf.all.disable_ipv6=0
    ### UNCOMMENT AND EDIT BELOW IF NECESSARY
    ## remove pi-hole nameserver
    #/sbin/resolvconf -d "tun0.openvpn"
    ### UNCOMMENT AND EDIT ABOVE IF NECESSARY
    ;;
esac