Konfigurieren des Always-On-VPN auf Android unter Verwendung eines Serverdomänennamens anstelle einer Server-IP-Adresse

6671
hbere

Ich verbinde mich zu meinem Hamachi-betriebenen VPN mit meinem mobilen Android-Gerät (v4.4.x) über IPSec. Die VPN-Verbindung funktioniert einwandfrei, außer dass ich die Verbindung in den VPN-Einstellungen von Android nicht als "Always-On" konfigurieren kann. Infolgedessen bricht die Verbindung häufig ab und ich muss in die Android-Einstellungen meines mobilen Geräts zurückkehren und das VPN manuell neu starten, was ärgerlich ist und den Zweck des VPN-Anschlusses in gewisser Weise zunichte macht.

(Randnotiz: Ein wenig mehr über die Einstellung "Always On") finden Sie hier am Ende des Artikels: http://www.howtogeek.com/135036/how-to-connect-to-a-vpn-on -android / .)

Die Ursache meines Problems ist, dass Android eine statische VPN-Server-IP-Adresse benötigt, bevor eine VPN-Verbindung als "immer eingeschaltet" akzeptiert wird und Hamachi keine statische IP-Adresse für mobile VPN-Verbindungen verwendet. Stattdessen wird nur die statische URL "m.hamachi.cc" verwendet.

Ich habe also zwei Fragen: Erstens, wie kann ich meine VPN-Verbindung als "Always On" einrichten, da der VPN-Server keine statische IP-Adresse hat, die erforderlich ist? Zweitens, warum benötigt Google eine statische IP-Adresse für eine ständig aktive Verbindung. Was ist der Vorteil davon?

Danke, ich würde mich über Ideen freuen.

2

2 Antworten auf die Frage

1
Christian

Es ist schon lange her, seit das gefragt wurde, aber ich versuche es trotzdem zu beantworten. Basierend auf der Antwort in diesem Thread liegt das Problem beim DNS-Spoofing:

Always-on vpn schützt Sie vor einem Netzwerk, das Sie nicht kontrollieren können. Wenn Sie anstelle einer IP-Adresse einen DNS-Namen verwenden, muss das Gerät diesen Namen auflösen, BEVOR der VPN-Tunnel eingerichtet wird. Diese Lösung kann jedoch in einem Netzwerk erfolgen, dem Sie nicht vertrauen. Sie können also nicht sicher sein, ob die für den Namen zurückgegebene IP-Adresse die richtige ist.

Ein Szenario wäre, dass der DNS-Server im nicht vertrauenswürdigen Netzwerk Ihnen die IP-Adresse eines VPN-Servers unter seiner Kontrolle geben würde, an den dann Ihre Anmeldeinformationen gesendet würden (anstelle Ihres eigenen Servers).

Auf dieser Ebene der Blechfolie schützt Sie das Erfordernis einer statischen IP vor ARP-Vergiftungen? Welches ist wahrscheinlich genauso einfach wie DNS-Spoofing. Aron vor 7 Jahren 3
Du liegst absolut richtig. Ich denke, der Grund dafür ist, dass es eine einfache Möglichkeit war, DNS-Spoofing zu verhindern, während Maßnahmen gegen ARP-Spoofing auf dem Smartphone schwieriger zu implementieren wären (siehe https://en.wikipedia.org/wiki/ARP_spoofing#Defenses) Ich bin nicht falsch, das Problem könnte durch die Verwendung eines VPN-Protokolls gelöst werden, das einen Server mit einem vertrauenswürdigen Zertifikat erzwingt Christian vor 6 Jahren 0
@christian Tatsächlich haben alle modernen VPN-Protokolle entweder die Möglichkeit, den Endpunkt zu authentifizieren (z. B. mithilfe von PKI oder Festlegen des Serverzertifikats), oder der Schlüsselaustausch verwendet ein gemeinsames Geheimnis, sodass bei einem Verbindungsaufbau nichts über das Geheimnis preisgegeben wird zu einem Schurkenwirt Terry Burton vor 6 Jahren 0
-1
Marcin Konrad Ceglarek

Sie können sich auf keine Kommunikation verlassen, bevor Sie den VPN-Tunnel einrichten. Der Aufbau eines VPN-Tunnels sollte mit dem Einrichten einer verschlüsselten Verbindung auf Zertifikatsbasis beginnen, sodass das von Aron erwähnte ARP Poisoning keinen Einfluss darauf haben kann (da ein angreifender Computer keine Möglichkeit hat, tatsächlich eine Verbindung herzustellen, kann er daher nur die Kommunikation zwischen Ihnen und dem Netzwerk verhindern Angriff von MITM zu DOS ändern)

Daher kann jede DNS-Abfrage zum Herstellen der Server-IP-Adresse beeinträchtigt werden (oder nur blockiert werden, sodass Sie niemals eine Verbindung herstellen). Sie müssen DNS-Server bereitstellen, um das Durchsickern von Informationen an Ihren aktuellen ISP zu verhindern.

Dies ist ein Kommentar, der als Antwort auf eine Frage übermittelt wurde. Sie sollten Ihre Antwort so bearbeiten, dass sie die Frage des Autors direkt und ausführlich beantwortet. Kommentare sollten niemals als Antwort auf eine Frage eingereicht werden. "Da ich nichts kommentieren kann, gehe ich davon aus, dass Ihre Antwort Christian richtig ist." - * Diese Aussage ist ein Kommentar. * Ramhound vor 7 Jahren 0

Verwandte Probleme