Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Verbindung ohne VPN verhindern (macOS)

Verbindung ohne VPN verhindern (macOS)

Chriz_L
Chriz_L08.10.2011:56
Hallo!
Weiß jemand eine einfache Möglichkeit sämtlichen Traffic einzuschränken bevor eine VPN-Verbindung aufgebaut ist? Normal würde ja sofort bei bestehender Internet-Verbindung sämtliche Cloud-Dienst zu synchronisieren beginnen, Browser-Tabs laden.... Ich würde das gern verhindern (ohne alle Programme schließen zu müssen bzw. bei iCloud hilft ja selbst das nicht) und die erst über VPN zulassen.
Christian
0

Kommentare

DTP
DTP08.10.2012:02
Ein sogenannter "Kill Switch" geht unter MacOS mW nicht mit Bordmitteln.

Allerdings geht das über eine Helper-Application. Es gibt mehrere VPN-Lösungen, die so was anbieten, z.B.:
https://protonvpn.com/blog/macos-vpn-kill-switch/

Oder mittels Tunnelblick:
https://www.tunnelblick.net/cKillSwitch.html

Beide habe ich ausprobiert und funktionieren zufriedenstellend.

Hier noch eine Lösung mittels Kommandozeile (die ich nie selbst ausprobiert habe):
https://vpn-kill-switch.com/post/how-it-works/

Oder über LittleSnitch (ebenfalls nicht ausprobiert):
http://asciithoughts.com/posts/2014/02/15/using-little-snitch-to-prevent-internet-access-without-vpn/
+1
Chriz_L
Chriz_L08.10.2012:09
Danke!
Wobei der Kill-Switch den Traffic davor nicht verhindert sondern nur danach, wenn VPN beendet wird oder abstürzt.
Ich hätte ja gern den Traffic davor schon eingeschränkt - das scheint mir nur über den LittleSnitch-Ansatz zu klappen. Werde ich noch näher ansehen.
0
Floki
Floki08.10.2012:23
Chriz_L
Ich hätte ja gern den Traffic davor schon eingeschränkt - das scheint mir nur über den LittleSnitch-Ansatz zu klappen. Werde ich noch näher ansehen.

"Eine" mögliche Lösung für dein Anliegen/Vorhaben ist eine "VPN-App" mit "Network Lock".

Sprich solange du keinen Server (VPN) ausgewählt und aktiv geschalten hast, gibt es KEINE online Verbindung. Du kannst noch auswählen ob dann LAN erlaubt ist oder nicht und kannst aber auch Seiten "außerhalb" des Tunnels laufen lassen.

Hier mal als Beispiel AirVPN Client Eddie https://airvpn.org



Erlaube LAN



Freigaben außerhalb des Tunnels



Damit wären alle deine Wünsche abgedeckt.
+1
Chriz_L
Chriz_L08.10.2012:44
Ja sowas wie AirVPN entspricht meinen Wünschen. Hab zwar einen eigenen VPN-Server aber nachdem das nur kurzfristig Verwendung finden wird, bräuchte man bei AirVPN nicht selbst basteln. Normal meide ich fremde WLAN / LAN ja wie die Pest aber manchmal kommt man dem leider nicht aus.
0
rmayergfx
rmayergfx08.10.2012:48
Erstelle einfach eine neue Netzwerkumgebung, z.b. mit dem Namen "All_blocked" und trage dort ungültige Proxy Daten ein, sobald VPN verbunden ist, kannst du nun mit den Settings die durch das VPN eingetragen werden surfen.
„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“
+1
Chriz_L
Chriz_L08.10.2013:04
Der VPN Client Eddie (der von AirVPN verwendet wird) kann auch mein VPN (OpenVPN) und unterstützt Network-Lock - somit ist das wohl die einfachste Lösung, wenn ich von Tunnelblick auf Eddie umstelle. Muss ich mir aber noch genauer ansehen.
0
DTP
DTP08.10.2013:07
Chriz_L
Ich hätte ja gern den Traffic davor schon eingeschränkt
Ok, wenn du die Regeln immer aktiv haben willst, dann geht das doch mit Bordmitteln über pf:

https://sunknudsen.com/privacy-guides/how-to-configure-self-hosted-vpn-kill-switch-using-pf-firewall-on-macos
0
feel_x08.10.2013:34
Man kann am Mac eine VPN-Verbindung für ausgehenden Traffic erzwingen.
Ich habe bisher das Tool "VPNAutoConnect" verwendet:
https://apps.apple.com/de/app/vpn-autoconnect/id532510878

Vor kurzem habe ich bemerkt, dass man für das iPhone eigene Profile erstellen kann, die die Verwendung eines VPNs erzwingen:
https://pixelfriedhof.com/iphone-erzwinge-vpn-verbindung-in-fremden-wlans/

Diese Profile kann man auch am Mac benutzen. Es geht also doch mit Bordmitteln.
Dort wird bei Doppelklick auf das Profil automatisch ein neuer Systemeinstellungen-Punkt "Profile" hinzugefügt, der die Profil-Einstellungen als VPN-Netzwerkeinstellung erstellt. Diese enthält dann eine Checkbox "bei Bedarf verbinden", die die Verbindung mit dem VPN erzwingt, bevor Traffic Richtung Internet rausgeht.
Sagt zumindest mein Little snitch.
Diese Checkbox gibt es offensichtlich nicht, wenn eine VPN-Verbindung manuell angelegt wird, sondern nur per erstelltem Profil.
+2
DTP
DTP08.10.2014:14
feel_x
Vor kurzem habe ich bemerkt, dass man für das iPhone eigene Profile erstellen kann, die die Verwendung eines VPNs erzwingen:
https://pixelfriedhof.com/iphone-erzwinge-vpn-verbindung-in-fremden-wlans/

Diese Profile kann man auch am Mac benutzen. Es geht also doch mit Bordmitteln.

Dort wird bei Doppelklick auf das Profil automatisch ein neuer Systemeinstellungen-Punkt "Profile" hinzugefügt, der die Profil-Einstellungen als VPN-Netzwerkeinstellung erstellt. Diese enthält dann eine Checkbox "bei Bedarf verbinden", die die Verbindung mit dem VPN erzwingt, bevor Traffic Richtung Internet rausgeht.
Gerade mal ausprobiert, funktioniert klasse. DANKE für den Link!

Das beste finde ich, dass sich der Mac nur dann zum VPN verbindet, wenn er in einem unbekannten WLAN ist. Zuhause lässt er das VPN aus.
+1
feel_x08.10.2014:25
DTP
Gerade mal ausprobiert, funktioniert klasse. DANKE für den Link!

Das beste finde ich, dass sich der Mac nur dann zum VPN verbindet, wenn er in einem unbekannten WLAN ist. Zuhause lässt er das VPN aus.

Gerne.

Genau das hat mich auch interessiert: Ich will nicht jedesmal sagen "jetzt zuhause", "jetzt unterwegs", sondern das Ding soll die erlaubten WLans kennen und sich entsprechend verhalten.
Man könnte nun mal schauen, ob man das für Kabel-Netzwerke entsprechend abwandeln kann.

Ab und zu muss man wahrscheinlich die Liste der erlaubten Netzwerke entsprechend erneuern.. und aufpassen, dass man nicht einen WLan-Namen freigibt, den irgend jemand anders auch verwenden könnte. (Leider gibt man ja nur SSIDs frei und keine MAC-Adressen).

Kannst Du mit Deinen Tools auch nochmal messen, dass wirklich kein Traffic dran vorbei geht?
Wäre interessant für Leute, die sich in Netzwerken (Ländern) befinden, die VPNs aktiv blockieren.
0
feel_x08.10.2014:30
Ach, und für alle noch ein Tipp:
Sipgate bietet mit seinem kostenlosen Basis-VoIP-Account auch den Zugriff auf das Sipgate VPN an.
Das nutze ich und kann es als sehr schnell und zuverlässig empfehlen.
0
DTP
DTP08.10.2014:56
feel_x
Kannst Du mit Deinen Tools auch nochmal messen, dass wirklich kein Traffic dran vorbei geht?
Ich hab mir das mal schnell auf dem Router angesehen: Wenn der Mac aus dem Schlaf kommt, dann funkt er leider für ca. 40 Sekunden doch ein paar Anfragen nach draußen. mozilla.org (Firefox war aktiv) und viele Apple-Anfragen (caldav.icloud.com, apple-dns.net, gsa.apple.com, gs-loc.apple.com, mesu.apple.com).

Danach ging aber nichts mehr durch, auch wenn das VPN nicht aktiv war.
feel_x
Wäre interessant für Leute, die sich in Netzwerken (Ländern) befinden, die VPNs aktiv blockieren.
Das dürfte leider nicht helfen, denn ein staatlicher VPN Block würde ja das Verbinden zum VPN Server verhindern.
0
feel_x08.10.2015:53
DTP
feel_x
Kannst Du mit Deinen Tools auch nochmal messen, dass wirklich kein Traffic dran vorbei geht?
Ich hab mir das mal schnell auf dem Router angesehen: Wenn der Mac aus dem Schlaf kommt, dann funkt er leider für ca. 40 Sekunden doch ein paar Anfragen nach draußen. mozilla.org (Firefox war aktiv) und viele Apple-Anfragen (caldav.icloud.com, apple-dns.net, gsa.apple.com, gs-loc.apple.com, mesu.apple.com).

Danach ging aber nichts mehr durch, auch wenn das VPN nicht aktiv war.
feel_x
Wäre interessant für Leute, die sich in Netzwerken (Ländern) befinden, die VPNs aktiv blockieren.
Das dürfte leider nicht helfen, denn ein staatlicher VPN Block würde ja das Verbinden zum VPN Server verhindern.

Hmhm. Okay, dann wäre wohl doch ein lokaler proxy auf 127.0.0.1 zu empfehlen, der erst dann zum Internet durchschaltet, wenn eine VPN-Verbindung verfügbar ist.

Ich hatte das zeitweise mal für Port 80 und Port 8080 gemacht, die dann via Proxy auf https:// bzw. Port 443 umgebogen wurden. So hatte ich unverschlüsselte Verbindungen verhindert.

In den blockierten Ländern hilft das alles also nur soviel, dass mein Rechner nicht mit fremden Rechnern redet, solange keine VPN-Verbindung zustande kommt.
Wobei ich beim Thema China und Great Firewall schon gelesen habe, dass die dort ganze Root-Zertifikate durchgetauscht haben, so dass google.com auf eine andere Seite verlinkt und wegen gültigem Zertifikat nicht mal als falscher Zielort markiert wird. Schöne neue Welt..
0
awk08.10.2016:28
Warum so kompliziert? Ich verwende zur Zeit NordVPN mit dem IKEv2 Client. Ist das einmal eingerichtet, geht alle Kommunikation über das VPN. Davor hatte ich IPVanish in Verbindung mit Tunnelblick, das baut auch sofort eine Verbindung zum VPN auf.
0
DTP
DTP08.10.2016:39
awk
Warum so kompliziert?
Das Verfahren mit der mobileconfig ist super unkompliziert und braucht noch nicht mal Drittsoftware.
awk
Ich verwende zur Zeit NordVPN mit dem IKEv2 Client.
Ich vermute dass dieser Client auch URLs vor seinem Start durchlässt, die Apple-Services starten ja schon beim Login-Prozess.
Abhilfe wäre die Netzwerkeinstellungen so zu verbiegen, dass bis zum Start des Clients nichts durchgeht.
0
Chriz_L
Chriz_L10.10.2021:44
Kurz zur Info:
Ich hab mich mit Eddie OpenVPN Client gespielt und das funktioniert vorerst ausreichend. Hat aber noch etwas Verbesserungspotential. Einmal muss man aufpassen, dass Eddie auf jeden Fall vor dem WLAN läuft - kann problematisch sein, wenn der Mac neu gestartet wird und das WLAN mit automatisch verbinden gespeichert ist. Da darf ich eben nicht vergessen das WLAN immer wieder zu deaktivieren. Weiters hat Eddie im Zusammenhang mit meinem OpenVPN ein Problem beim finden der Exit IPs (was immer da genau gemacht wird) und benötigt dafür mehrere Minuten, wenn der Net Lock eingeschaltem ist. Ohne dauert es ein paar Sekunden.
Wie gesagt für den einen Einsatz ok aber für täglich eher nein. Glaub da wird’s doch eher ein kleiner mobiler Router mit Open WRT oder es findet sich noch eine praktischere Lösung.
Auf jeden Fall Danke für die Tipps!
0
Floki
Floki11.10.2008:24
Chriz_L
Weiters hat Eddie im Zusammenhang mit meinem OpenVPN ein Problem beim finden der Exit IPs (was immer da genau gemacht wird) und benötigt dafür mehrere Minuten, wenn der Net Lock eingeschaltem ist. Ohne dauert es ein paar Sekunden.

Diese Aussage kann ich nicht so recht nachvollziehen. Bei mir läuft "Eddie" eigentlich immer im Hintergrund.
Tägliches Szenario bei mir wenn ich fertig bin mit arbeiten >> Eddie disconnect und WLAN aus >> MBP in Ruhezustand. Komme ich wieder zurück >> WLAN an. Dann dauert es kurz (ca. 10 Sekunden) bis er die "aktuelle" Serverliste abfrägt (wegen Speed und PING). Dann suche ich einen Server aus und ca. 5 Sekunden später steht die VPN Verbindung.
Das mache ich bereits seit mehreren Jahren so, wenn dieses bei dir nicht so funktionieren sollte dann hast du "irgendwo" einen Fehler in deinem System.

Network Lock ist bei mir immer an (mit Freigabe für LAN) da ich noch über 10 Geräte im Netzwerk laufen habe (Macs, Airports, Vu+ usw.).
0
Chriz_L
Chriz_L11.10.2009:17
Floki

Ich glaub, dass das mit meinem OpenVPN Server zusammenhängt ich nutze nicht AirVPN sondern meinen eigenen Server.
0
DTP
DTP11.10.2010:05
Chris_L
Probier doch mal den Weg mit der mobileconfig. Das war für mich unter 5 Minuten testen und funkt super.
0
Chriz_L
Chriz_L11.10.2020:37
DTP

Hört sich recht einfach und wirksam an - scheitert aber wohl daran, dass es ein IPSEC-VPN sein muss und keine OpenVPN unterstützt. Da.müsste ich erst meinen VPN Server umbauen. Grundsätzlich hab ich OpenVPN gewählt, weil ich da auch über Port 443 arbeiten kann und damit durch diverse Firewalls durchkomme, wo andere VPNs scheitern. Das Szenario ist bei mir öfter der Fall, als dass ich dem WLAN überhaupt nicht trau und deshalb die diskutierte Lösung benötige. Werd aber bei Gelegenheit auch ein IPSEC VPN auf dem Server einrichten - dann hab ich jederzeit die Wahl.
0
DTP
DTP12.10.2009:56
Chriz_L
DTP

Hört sich recht einfach und wirksam an - scheitert aber wohl daran, dass es ein IPSEC-VPN sein muss und keine OpenVPN unterstützt. Da.müsste ich erst meinen VPN Server umbauen.
Hier ist ein Beispiel für OpenVPN. Ist ein wenig aufwändiger:
https://openvpn.net/vpn-server-resources/provisioning-profile-example-1/
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.