jasper13
Goto Top

VPN für China

Guten Tag zusammen,
Ich habe mit dem Schreiben angefangen und weiß nicht, ob ich die richtige Forumskategorie gewählt habe.

Hat jemand Erfahrung mit einer VPN-Verbindung aus China nach Deutschland?

wenn unsere Außendienstler eine Dienstreise nach China machen, bekommen Sie jedesmal Probleme mit der VPN-Verbindung bzw. kommen erst gar nicht rein.

Hat von euch jemand Erfahrung mit einer VPN-Verbindung aus China nach Deutschland? Wie regelt ihr das?

Wir nutzen den SSL-Client-Zugriff über unsere Sophos-Firewall.

Die IP-Adresse und der Port wurden schon geprüft und stimmen auch.
In Deutschland ist es gar kein Problem, aber unser Dienstleister hat gemeint, dass China eventuell das VPN-Protokoll blockiert. Die hatten schon öfters das Problem.

Dieser Artikel beschreibt einige VPNs, aber ich weiß nicht, ob einige von ihnen besser sind. https://pcjetzt.com/bester-vpn-anbieter-fuer-china/

Content-Key: 391884

Url: https://administrator.de/contentid/391884

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: itisnapanto
itisnapanto 07.11.2018 um 06:35:46 Uhr
Goto Top
Moin ,

das kommt mir leider sehr bekannt vor.

Schau mal :
https://www.cnbc.com/2017/07/10/china-bans-vpns-to-further-tighten-inter ...


Was allerdings ging war der Fernzugriff ( Control, nicht VPN ) über Teamiewer.
Ist kein Dauerzustand , aber zum Glück bei uns kam das auch erst 2-3 mal vor.

Gruss Michael
Mitglied: Archeon
Archeon 07.11.2018 um 06:44:19 Uhr
Goto Top
Guten morgen,

dazu gibt es hier schon einige Beiträge
hier zum Beispiel
oder auch diesen
und einige andere auch noch, bitte einfach die Suchfunktion benutzen, sollte da nichts passendes dabei sein.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.11.2018 aktualisiert um 06:58:34 Uhr
Goto Top
Moin,

VPN in China ist verboten, bzw. nur durch autorisierte Provider erlaubt, was ein kurzes googlen zeigt:

https://www.google.de/amp/s/de.vpnmentor.com/amp/blog/darum-sind-vpns-ch ...

Daher blockiert China an der großen (Brand-)Mauer VPNs.


lks
Mitglied: 127132
127132 07.11.2018 um 06:55:38 Uhr
Goto Top
Ich kenn die Problematik nur von einem Bekannten, der für eine eher sehr große Firma arbeitet, die auch in China ein paar Filialen hat.

Sie haben da jetzt nicht wirklich Probleme. Sie lassen den entsprechenden Stellen gewisse Zuwendungen zukommen.
Die, die sich das nicht leisten können sind der Willkür des Politbüros ausgesetzt.
Knackpunkt ist halt, dass China de facto VPNs verboten hat.
Man müsste zu einem geduldeten VPN-Anbieter bzw. Software wechseln (eher unwahrscheinlich), oder man macht eben das Spielchen und tunnelt wohl illegal selber. Wobei da eben bei Problemen immer wieder die IP und/oder Ports gewechselt werden müssen.
VNC statt VPN kann dann wirklich mal ein Ansatz sein.
Mitglied: passy951
passy951 07.11.2018 aktualisiert um 09:37:10 Uhr
Goto Top
Morgen!

Es gibt von Alibaba Cloud welche mit Vodafone in DE zusammen arbeiten ein VPN Service. Ist zwar etwas teuer wie ich finde, funktioniert anscheinend aber richtig gut.
Wir müssen da uns auch in Zukunft gedanken drüber machen. Haben auch schon ein Angebot von Vodafone. Kann natürlich sein, dass noch andere Anbieter mit Alibaba zusammen arbeiten.

Kann dazu noch nicht viel sagen... Wenn ich mehr weiß, und du noch keine Lösung hast, melde ich mich nochmal

https://www.alibabacloud.com/product/vpn-gateway

Gruß

Nachtrag:

https://www.vodafone.de/business/loesungen/cloud-alibaba.html
Mitglied: brammer
brammer 07.11.2018 um 10:07:27 Uhr
Goto Top
Hallo,

aus Erfahrung kann ich sagen das VPN mit vielen Provider inzwischen in China durchaus funktioniert, solange es DSL oder ähnliches ist.
VPN mit den meisten Mobilfunk Providern ist eher schwierig. Das ist teilweise sogar von Region zu Region unterschiedlich, insbesondere in Sonderwirtschaftszonen funktioniert es meist

Wenn ihr eine Niederlassung in China habt soll sich die bei den Mobilfunk Providern informieren mit welchen Anbietern es klappt....

@passy951
VPN über ein Cloud Lösung? Dann kannst du VPN auch gleich weglassen....

brammer
Mitglied: passy951
passy951 07.11.2018 um 10:14:06 Uhr
Goto Top
Warum kann ich VPN dann gleich weg lassen?

Es wird lediglich eine Verbindung zwischen Meinem Standort in DE <-> RZ Vodafone <-> Alibaba Cloud RZ China <-> Standort China aufgebaut.
Mitglied: aqui
aqui 07.11.2018 um 10:49:07 Uhr
Goto Top
Was allerdings ging war der Fernzugriff ( Control, nicht VPN ) über Teamiewer.
Bei China ganz tödlich. Nicht nur das Teamviewer einen Vermutllungshost nutzt der so oder so alles mitschnorchelt kann man sicher davon ausgehen das dieser Traffic auch von China entsprechend redirected und von der großen Firewall abgeschnorchelt und analysiert wird. Da er unverschlüsselt ist haben Überwacher einfachstes Spiel.
Sowas ist in Bezug auf Firmengeheimnisse ein absolutes NoGo, wie Teamviewer im Firmenumfeld sowieso. In vielen Firmen ist sowas ein Kündigungsgrund da Verstoß gegen die Sicherheitspolicy !
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.11.2018 um 10:54:31 Uhr
Goto Top
Zitat von @aqui:

... kann man sicher davon ausgehen das dieser Traffic auch von China entsprechend redirected und von der großen Firewall abgeschnorchelt und analysiert wird.

Das passiert im wesentlich mit fast jedem Traffic, wenn man diversen Berichten glauben darf. Von daher würde ich nicht darauf Vertrauen, daß Firmengeheimnisse überhaupt sicher übertragen werden können. Ich würde jedenfalls ein VPN über covered/subliminal channels für sowas benutzen, aber die gibt es aktuell nicht von der Stange, sondern muß individuell implementiert werden.

lks
Mitglied: brammer
brammer 07.11.2018 um 11:09:24 Uhr
Goto Top
Hallo,

eine Verbindung zwischen Meinem Standort in DE <-> RZ Vodafone <-> Alibaba Cloud RZ China <-> Standort China aufgebaut.

okay.... Und du gehst davon aus die Daten auf dem gesamten Weg, auch durch das Alibaba RZ, verschlüsselt und unter deiner Kontrolle sind?

Kann man Glauben, ist halt Sch...

brammer
Mitglied: Spirit-of-Eli
Spirit-of-Eli 07.11.2018 um 11:59:46 Uhr
Goto Top
Das Thema gab es hier letztens noch.
Einfach über Citrix arbeiten wäre dort auch eine Option.
Mitglied: the-buccaneer
the-buccaneer 08.11.2018 um 02:55:36 Uhr
Goto Top
Zitat von @aqui:

Was allerdings ging war der Fernzugriff ( Control, nicht VPN ) über Teamiewer.
Bei China ganz tödlich. Nicht nur das Teamviewer einen Vermutllungshost nutzt der so oder so alles mitschnorchelt kann man sicher davon ausgehen das dieser Traffic auch von China entsprechend redirected und von der großen Firewall abgeschnorchelt und analysiert wird. Da er unverschlüsselt ist haben Überwacher einfachstes Spiel.
Sowas ist in Bezug auf Firmengeheimnisse ein absolutes NoGo, wie Teamviewer im Firmenumfeld sowieso. In vielen Firmen ist sowas ein Kündigungsgrund da Verstoß gegen die Sicherheitspolicy !

Hi aqui!

Das ist ein spannendes Thema! (Und der Grund, warum ich ChunkVNC mit einem eigenen Repeater für meine Fernwartung einsetze...)

Hier: https://forum.dd-wrt.com/phpBB2/viewtopic.php?p=133436&sid=bf96f27ff ...

wird eine Lösung für OpenVPN und den Port 563 empfohlen.

Trotzdem würde ich versuchen (keine China-Erfahrung) bei den offiziellen Stellen anzufragen. Diese Mauer soll die chinesische nicht privilegierte Bevölkerung vom Abgleich ihrer Informationen mit der Weltpresse abhalten, nicht einen Firmenmitarbeiter von der sicheren Verbindung mit seiner Homebase. Was sagt denn das Konsulat zu dem Thema???

LG
Buc
Mitglied: 127132
127132 08.11.2018 um 07:45:57 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Das passiert im wesentlich mit fast jedem Traffic, wenn man diversen Berichten glauben darf. Von daher würde ich nicht darauf Vertrauen, daß Firmengeheimnisse überhaupt sicher übertragen werden können.

In der Firma meines Bekannten werden wichtige Geschichten ganz gesondert übertragen. Zum Teil so wie man es aus den 80er Jahre Agententhriller kennt. Die wissen, dass deren Traffic überwacht wird. Das geben die Verantwortlichen in China auch offen zu. Also...offen unter der Hand. Genau für diesen Zweck haben die ja diese authorisierten VPN-Anbieter eingeführt.

Aber man muss da auch mal die Kirche im Dorf lassen. Diejenigen, die wirklich so sensible Daten übermitteln müssen, haben sowieso einen guten Draht zum Politbüro. Und diejenigen, die keinen guten Draht haben, haben in der Regel keine so richtig sensible Daten, für die sich China interessiert.
Von daher ist der Weg über die offiziellen Möglichkeiten wohl das einfachste. Auch wenn man da weiß, dass da abgegriffen wird.
Mitglied: NetzwerkDude
NetzwerkDude 08.11.2018 um 13:17:33 Uhr
Goto Top
Schau dir mal das Thema "xor scramble patch" für openVPN an - 2016/2017 hat das wunderbar funktioniert, da die GreatFirewall seinerzeit nicht den unterschied zwischen OpenVPN und HTTPS packets sah - d.h. wenn dein Server den Dienst auf 443 via TCP anbietet und die IP auf keiner China NoGo Liste steht, wäre es einen versuch wert.

Aber erst nach dem Patchen versuchen, sonst landest schneller auf der Parteiliste als es dir lieb ist face-smile
Mitglied: the-buccaneer
the-buccaneer 11.11.2018 um 02:11:16 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Das passiert im wesentlich mit fast jedem Traffic, wenn man diversen Berichten glauben darf. Von daher würde ich nicht darauf Vertrauen, daß Firmengeheimnisse überhaupt sicher übertragen werden können.

Doch. Immer wenn aktuelle Verschlüsselung eingesetzt werden kann.

In der Firma meines Bekannten werden wichtige Geschichten ganz gesondert übertragen. Zum Teil so wie man es aus den 80er Jahre Agententhriller kennt. Die wissen, dass deren Traffic überwacht wird. Das geben die Verantwortlichen in China auch offen zu. Also...offen unter der Hand. Genau für diesen Zweck haben die ja diese authorisierten VPN-Anbieter eingeführt.

Unverschlüsseltes (Aufbrechbares") VPN? MITM? Ähm, sorry, aber geht nicht. (Mein Wissenstand) 80er? Tote Briefkästen?

Aber man muss da auch mal die Kirche im Dorf lassen. Diejenigen, die wirklich so sensible Daten übermitteln müssen, haben sowieso einen guten Draht zum Politbüro. Und diejenigen, die keinen guten Draht haben, haben in der Regel keine so richtig sensible Daten, für die sich China interessiert.
Sicher richtig.

Von daher ist der Weg über die offiziellen Möglichkeiten wohl das einfachste. Auch wenn man da weiß, dass da abgegriffen wird.
Was und wie?

Eine VPN Verbindung, die ich nur bis zum chinesischen Endpoint kontrollieren kann ist Fake-VPN. . Bad Encryption. Bad for the world. Bad for trust. Bad for trustful relashionships. Fake News. face-wink face-wink Wie man das heute gern mal in der Weltpolitik herunterbricht.

Wenn du da also noch etwas konkreter werden könntest, @127132: , wäre das sehr interessant.

Nächtens
Buc
Mitglied: niclas-voda
niclas-voda 06.12.2018 um 22:22:34 Uhr
Goto Top
Hallo passy951,
hallo zusammen,

ich bin durch Zufall auf diesen Beitrag gestoßen und möchte gerne privat meinen Senf dazu geben face-smile
Eins vorweg, damit es transparent ist: Ich bin Vodafone-Mitarbeiter und erhalte keinerlei Vertriebsprovisionen.


Man merkt, dass in letzter Zeit immer mehr bisher funktionierende VPN-Lösungen geblockt und geahndet werden. Alibaba Cloud ist einer der wenigen Anbieter, die die chinesische Firewall legal tunneln dürfen.

Den Dienst, den wir gemeinsam mit Alibaba Cloud anbieten, ist kein VPN-Service (CN-Mainland<->HK oder DE), sondern läuft über das private Netzwerk von Alibaba Cloud. Hierbei werden zwei Rechenzentren von Alibaba Cloud via Cloud Enterprise Network (CEN) miteinander verbunden. Nur die Verbindung innerhalb von Deutschland oder China zum jeweiligen RZ läuft via VPN.
Vorteile: Ping von ca. 130ms, 0% Packet loss und SLA von 99,95%.

Eine typische Verbindung könnte wie folgt aussehen:
(Standort DE)<-VPN-Gateway/Vodafone MPLS->(RZ DE)<-Alibaba Cloud CEN->(RZ CN)<-VPN-Gateway>(Standort CN)

Alternativ zu diesem Aufbau kann anstatt der VPN-Gateways (IPsec) in Deutschland und China auch ein virtueller Server mit eigener Software betrieben werden. Dann muss jedoch ins besondere auf die Einhaltung des China Internet Security Law geachtet werden (Verschlüsselung etc.).

Preislich sieht es beispielsweise so aus:
CEN DE-CN mit 2Mbit/s synchron: 306$/Monat
VPN-Gateway: ab je 45$ + Traffic
Alternativ: zwei virtuelle Server ab je 15$/Monat + Traffic

Bezüglich möglicher benötigigten Zertifikate oder Sicherheistbedenken, verweise ich mal auf diese Seite:
https://www.alibabacloud.com/trust-center

Solltet ihr spezielle Fragen/Ideen haben, können wir diese gerne hier diskutieren face-wink

Niclas
Mitglied: aqui
aqui 07.12.2018 aktualisiert um 14:19:31 Uhr
Goto Top
Ich bin Vodafone-Mitarbeiter und erhalte keinerlei Vertriebsprovisionen.
Ein Schelm wer Böses dabei denkt face-smile !!
Das Problem bei dieser Lösung ist die letzte Meile vom Ali Baba RZ zum Endstandort.
Dort ist die Verschlüsselung vorgegeben bzw. chinesische Überwachungs Behörden haben den Master Key vom Ali und die 40 Räuber lauern da natürlich mit großen Ohren. Klappt für den der damit leben kann aber sicher ist sowas natürlich nicht.
Mitglied: niclas-voda
niclas-voda 07.12.2018 um 19:34:48 Uhr
Goto Top
Zitat von @aqui:
Ein Schelm wer Böses dabei denkt face-smile !!
Ob du es glaubst oder nicht: Es gibt bei Vodafone Mitarbeiter, die einfach Spaß an Kundenlösungen haben und sich auch in ihrer Freizeit gerne damit beschäftigen face-wink

Zitat von @aqui:
Das Problem bei dieser Lösung ist die letzte Meile vom Ali Baba RZ zum Endstandort.
Dort ist die Verschlüsselung vorgegeben bzw. chinesische Überwachungs Behörden haben den Master Key vom Ali und die 40 Räuber lauern da natürlich mit großen Ohren. Klappt für den der damit leben kann aber sicher ist sowas natürlich nicht.

Wie in diesem Beitrag schon von anderen Nutzern bemerkt wurde ist China IT-technisch ein stark reguliertes Land. Die meisten VPN Lösungen von teils etwas undurchsichtigen Anbietern sind nicht wirklich legal.
Ohne jetzt eine politische Diskussion wegen der "letzten Meile" und Vertrauen in die Cloud anfangen zu wollen, aber dann müssten wir uns mindestens auch bei den amerikanischen Cloud-Anbietern & Behörden Gedanken machen oder nicht? face-smile

VG und ein schönes zweites Adventswochenende
Niclas
Mitglied: 127132
127132 11.12.2018 um 09:19:49 Uhr
Goto Top
Sorry, war eine Zeit lang abwesend...

Zitat von @the-buccaneer:

Unverschlüsseltes (Aufbrechbares") VPN? MITM? Ähm, sorry, aber geht nicht. (Mein Wissenstand) 80er? Tote Briefkästen?

Tragbare Medien. Verschlüsselt. Persönliche Übergabe.


Was und wie?

Man nutzt eben die angebotenen VPNs, kommt gut ins Ausland damit, weiß aber, dass man bestimmte Sachen da nicht drüberlaufen lassen sollte.


Wenn du da also noch etwas konkreter werden könntest, @127132: , wäre das sehr interessant.

Wie gesagt, man ist sich bewussst, dass abgehört/abgegriffen werden kann. Dementsprechend lässt man da auch nur Daten drüber, bei denen man das Abgreifen verschmerzen kann. Wichtiger ist da eben die problemfreie Verbindung zu entfernten Standorten.
Und dann wird halt geschmiert und hofft, dass die Höhe der Zuwendung gerade richtig war und sie ihren zweck erfüllt. Quasi das Social Engineering in die andere Richtung.