iOS: VPN-Verbindungen seit Jahren unsicher - und Apple tut nichts

[o1] mirco_b am 18.08. 08:19

+ -

Auch der Wechsel von mobilen Daten zum Wifi klappt nicht mehr seit iOS14, man muss immer kurz die VPN-Verbindung unterbrechen damit der Switch ins WLAN funktioniert...

[o2] ITnachHausetelefonen am 18.08. 09:01

+2 -1

Gekonnt dem Proton-VPN-Marketing-Gag auf den Leim gegangen.

Mal den Bericht durchgelesen? Der Autor dieses weiß nicht mal, was SYN ist, noch wie IKEv2 funktioniert. Er weiß auch nicht, dass Apple Services (23.200.168.178 auf Port 443) ausgeschlossen sind (so wie Google Services bei Android) oder dass manche seiner "Leaks" sogar von seinem ach-so-tollem VPN-Router kommen (dns.nextdns.io).

Die restlichen Pings sind irgendein Proton-VPN-Zeug oder - erneut - Pings auf Apple Services.

[o3] mh0001 am 18.08. 09:28

+2 -

Wie soll der Workaround denn überhaupt etwas bringen? Beim Eintritt in den Flugmodus wird schließlich auch die Verbindung getrennt, über die der VPN-Tunnel läuft, und damit ist auch die VPN-Verbindung erstmal getrennt. Wenn sich nach Deaktivieren des Flugmodus alles wieder neu verbindet, klingt es für mich dann eher nach Zufall, ob der VPN-Tunnel wirklich als erstes wieder steht und alle nachfolgend aufgebauten Verbindungen dann darüber laufen, oder ob erst einige Hintergrunddienste/Apps sich direkt über die wiederhergestellte Internetverbindung verbinden, bevor der VPN-Tunnel wieder steht (und dann hätte man das gleiche Problem wie zuvor). Aber die vorigen Kommentare deuten ja bereits an, dass es evtl nicht einmal wirklich ein Problem gibt. Trotzdem erscheint mir der Workaround komisch.

[o4] Rashiade am 18.08. 09:37

+1 -

Hätte ja nicht gedacht, dass irgendwann mal der Tag kommt, an dem ich mich auf Apples Seite sehe, aber da ist er.
Ich sehe keinen Grund, laufende Verbindungen automatisch hart zu killen, sobald man die Verbindung zu einem VPN herstellt. Das mag vielleicht für Hacker, Reporter, politisch Verfolgte, usw. interessant sein, aber für die klassische Nutzung eines VPN, um die Verbindung ins Firmennetz herzustellen, ist das nun mal total irrelevant und würde mich eher stören, wenn ich kurz im Firmennetz was machen möchte und dann alle Verbindungen gekillt werden.
Dafür gibt es eigene Systeme mit sog. Kill-Switch, hieraus würde ich aber keinen Anspruch ableiten, dass das überall so zu sein hat.

@ckahle:
Hier wüsste ich gerne mal, wo die Aussage "Allerdings ist es eigentlich Bestandteil des Initialisierungs-Prozesses einer VPN-Verbindung, dass alle bestehenden Verbindungen, die vor der Aktivierung des VPNs aufgebaut wurden, erst einmal beendet werden." herkommt.

[re:1] 0711 am 18.08. 12:03

+ -

@Rashiade: Gerade in Firmen will man häufig ein anderes Verhalten erreichen weil man sonst aktive verbindungen außerhalb der firmeninfrastruktur hat die entsprechend kritisch sein können.
Anspruch nicht aber es die übliche verhaltensweise wenn man keinen split tunnel macht, das ist grob eigentlich wie ein netzwerkwechsel. Die Aussage dürfte also daher kommen dass es alle anderen systeme so tun wenn man kein split tunneling betreibt.

Allerdings könnte man gewisse zweifel an dem bericht selbst haben ob der so zutrifft

[re:1] Rashiade am 18.08. 12:32

+ -

@0711: "Die Aussage dürfte also daher kommen dass es alle anderen systeme so tun wenn man kein split tunneling betreibt."

Naja, tun die das? Ich denke eher, durch die Änderung der Routingtabelle im System tut das OS das mehr oder weniger automatisch. Soll der gesamte Verkehr umgeleitet werden, wird die Default-Route geändert, ansonsten eine spezielle Route hinzugefügt.

Glaube nur fast nicht, dass Apple einer App auf einem iOS-Gerät solche Rechte zugesteht, einfach systemweit das Routing zu ändern.

[re:1] 0711 am 18.08. 17:25

+ -

@Rashiade: Ja das tun alle anderen systeme so die mir bekannt wären

der native vpn client verhält sich bei ios identischzu den angeflanschten drittprodukten. Wobei man an der analyse selbst gewisse zweifel haben kann ob hier was unerwartetes passiert

[o5] ThorDie am 18.08. 09:48

+ -

Würde mich fragen, ob das noch so ist, wenn alle anderen Adressen im Routing ausgeklammert werden (siehe OpenVPN: redirect-gateway def1 oder route + push nutzen) !?