PrivateVPN na windows 10 analiza pakietów Wiresharkiem pokazuje goły login i hasło

Witam po długim czasie.... Zainstalowałem u siebie na próbę PrivateVPN. Wszystko ładnie skonfigurowane i chodzi bez zarzutu. Łączy się bez problemu z innymi serwerami. Z ciekawości chciałem sprawdzić czy szyfrowanie  OpenVpn (tunelowanie działa).... Zainstalowałem na swoim kompie serwer FTP (skonfigurowałem go poprawnie, żeby dane szły czystym tekstem) Zainstalowałem także Wiresharka (w celu sprawdzenia czy szyfrowanie działa). Na drugim kompie obok zainstalowałem klienta FTP FilleZilla. Właczyłem Wiresharka, na drugim kompie połaczyłem się z serwerem FTP i gitara. Analizuję po 4 min pakiety we Wiresharku i zdziwienie , ze pokazuje mi login i hasło czystym tekstem. Oczywiście cały czas u siebie na kompie mam właczonego poprawnie  PrivateVpn.... O co tu chodzi, czy czegoś nie rozumiem, że w trakcie aktywnego VPN w komputerze  na którym jest serwer FTP i do którego się loguję z drugiego komputera  pokazuje mi login i hasło czystym tekstem w Wiresharku...? Pozdrawiam serdecznie

Cześć, to może być przez routing, jak masz route statyczną do drugiego komputera po LANie i w tablicy routingu ona będzie miała niższą metrykę, to pakiety polecą po niej bez szyfrowania. Pokaż tablicę routingu wynik komendy shella


I opisz trochę adresację. Co jest pod którym ip/w której sieci.

(01.05.2019 01:28 )Spartan napisał(a): Cześć, to może być przez routing, jak masz route statyczną do drugiego komputera po LANie i w tablicy routingu ona będzie miała niższą metrykę, to pakiety polecą po niej bez szyfrowania. Pokaż tablicę routingu wynik komendy shella

Kod:

route print

I opisz trochę adresację. Co jest pod którym ip/w której sieci.

Oto tablica routingu : 
 Sieć: 192.168.8.0/24
Dwa komputery połączone osobno ethernetem do routera. Reszta pod wifi.
1 Komputer 192.168.8.3 - PrivateVPN i serwer FTP
2 Komputer 192.168.8.2 - Klient ftp

Na moje obojętnie jaka jest metryka, to jak się ktoś podłączy pod moją sieć, bez problemu zobaczy moje hasło czystym tekstem . A nie powinno tak być.  Tu podałem przykładowo protokół FTP  dla testów. Sieć z Tmobile. Pozdrawiam

P.

Jak Twój komputer wysyła coś do drugiego w tej samej sieci, np.  192.168.8.2 wysyła do 192.168.8.3 to sprawdzana jest tablica routingu. Najdłuższa maska sieci w "network destination" z routy powyżej  to

192.168.8.0    255.255.255.0         On-link       192.168.8.3    291

i dlatego ruch idzie tą trasą, a nie przez VPN. Tak to działa standardowo. VPN zabezpiecza ruch idący domyślną bramą, a nie do lokalnej sieci.

Można podbić wartość metryki na wyższą. Wtedy ruch do drugiego komputera będzie szedł przez bramę domyślną. Możesz zrobić to ręcznie route delete lub poszukaj w opcjach klienta VPN czy ma pozostawiać istniejące trasy do otaczających komputer sieci. Jak podbijesz te metryki to np. nie będziesz widział komputerów w otoczeniu sieciowym itp. Szukaj opcji "Use default gateway on remote network" czyli "używaj bramy domyślnej w zdalnej sieci". To powinno być w opcjach klienta VPN.

PS. Nie znam Private VPN. Znam dobrze VPNy Cisco i trochę MS VPN Client  i tam w opcjach klienta VPN jest opisana powyżej opcja, czy przy zestawianiu połączenia VPN ma widzieć lokalną sieć, czy nie.

(01.05.2019 21:20 )Spartan napisał(a): Jak Twój komputer wysyła coś do drugiego w tej samej sieci, np.  192.168.8.2 wysyła do 192.168.8.3 to sprawdzana jest tablica routingu. Najdłuższa maska sieci w "network destination" z routy powyżej  to

192.168.8.0    255.255.255.0         On-link       192.168.8.3    291

i dlatego ruch idzie tą trasą, a nie przez VPN. Tak to działa standardowo. VPN zabezpiecza ruch idący domyślną bramą, a nie do lokalnej sieci.

Można podbić wartość metryki na wyższą. Wtedy ruch do drugiego komputera będzie szedł przez bramę domyślną. Możesz zrobić to ręcznie route delete lub poszukaj w opcjach klienta VPN czy ma pozostawiać istniejące trasy do otaczających komputer sieci. Jak podbijesz te metryki to np. nie będziesz widział komputerów w otoczeniu sieciowym itp. Szukaj opcji "Use default gateway on remote network" czyli "używaj bramy domyślnej w zdalnej sieci". To powinno być w opcjach klienta VPN.

PS. Nie znam Private VPN. Znam dobrze VPNy Cisco i trochę MS VPN Client  i tam w opcjach klienta VPN jest opisana powyżej opcja, czy przy zestawianiu połączenia VPN ma widzieć lokalną sieć, czy nie.

Dzięki za szybką odpowiedz. Też trochę szukałem wiadomości w tym temacie. Na to wychodzi, że ruch lokalny nie jest tunelowany przez VPN - wynika to choćby z różnych klas i zakresu adresów sieci czy podsieci. I musialbym postawić własny lokalny serwer VPN z odpowiednią konfiguracją jak się domyślam. Ale przynajmniej wiem  co i jak.... Jeszcze raz dzięki za informacje i miłego długiego weekendu życzę

A komputer ma widzieć te lokalne podsieci, czy tylko ma widzieć VPN? Bo jak może nie widzieć lanu to po prostu te routy wywal zamiast modyfikować metryki. Skasuj sieć /24 na routerze i poustawiaj z każdym komepm tzw. połączeniówki - sieci /30 do połączenia z routerem i tyle...

PS.  Również życzę miłego świętowania. Właśnie siadłem do roboty bo jest długi weekend i mniejszy ruch w necie..

(02.05.2019 00:29 )Spartan napisał(a): A komputer ma widzieć te lokalne podsieci, czy tylko ma widzieć VPN? Bo jak może nie widzieć lanu to po prostu te routy wywal zamiast modyfikować metryki. Skasuj sieć /24 na routerze i poustawiaj z każdym komepm tzw. połączeniówki - sieci /30 do połączenia z routerem i tyle...

PS.  Również życzę miłego świętowania. Właśnie siadłem do roboty bo jest długi weekend i mniejszy ruch w necie..

Dzięki za wszystkie informacje, właśnie delektuję się whisky, i wykorzystuję majówkę Pozdrawiam serdecznie