Hilfe zum Thema OpenVPN

[SvensenDE]

Guten Morgen,

Ich brauch da mal eure Hilfe.

Auf meiner DS hab ich VPN im Paket-Paketzentrum Installiert und hab mal die Standert einstellung genommen und naja
Selbst OpenVPN warnt mich das die Standerteinstellung nicht zu empfehlen ist.

Sat Jan 14 12:43:15 2017 OpenVPN 2.4.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 27 2016
Sat Jan 14 12:43:15 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sat Jan 14 12:43:15 2017 library versions: OpenSSL 1.0.2i  22 Sep 2016, LZO 2.09
Sat Jan 14 12:43:20 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Jan 14 12:43:20 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]00.00.000.000:1194
Sat Jan 14 12:43:20 2017 Attempting to establish TCP connection with [AF_INET]00.00.000.000:1194 [nonblock]
Sat Jan 14 12:43:21 2017 TCP connection established with [AF_INET]00.00.00.00:1194
Sat Jan 14 12:43:21 2017 TCP_CLIENT link local: (not bound)
Sat Jan 14 12:43:21 2017 TCP_CLIENT link remote: [AF_INET]00.00.000.000:1194
Sat Jan 14 12:43:21 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sat Jan 14 12:43:21 2017 [sub.domain.de] Peer Connection Initiated with [AF_INET]00.00.000.143:1194
Sat Jan 14 12:43:22 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sat Jan 14 12:43:22 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sat Jan 14 12:43:22 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sat Jan 14 12:43:22 2017 open_tun
Sat Jan 14 12:43:22 2017 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{22C49F70-74AC-4C7A-B361-A3011E71E384}.tap
Sat Jan 14 12:43:22 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {22C49F70-74AC-4C7A-B361-A3011E71E384} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sat Jan 14 12:43:22 2017 Successful ARP Flush on interface [12] {22C49F70-74AC-4C7A-B361-A3011E71E384}
Sat Jan 14 12:43:22 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sat Jan 14 12:43:27 2017 Initialization Sequence Completed

Wie kann ich die verschlüsselung verbessern hab das schon Server Config Datei über WinSCP geändert aber kriege das nicht hin :-(
hab auch schon geschaut ob das hier vllt extra für Synology beispiel Configs gibt aber leider keine gefunden

Vllt hab ihr ja eine Idee würde das gern nutzen für mein Notebook wenn ich Öffentlich oder bei bekannten bin

nach diesen Videos auf Youtube hab ich das schon versucht aber hab das nicht hinbekommen
hab das mit hohersicherheit genommen

https://www.youtube.com/playlist?list=PLsaoHW-XAXAk2OQPZh2aKBQaJDwCYseCJ


Viele Dank

 

[Fusion]

Siehe z.B. hier
https://community.openvpn.net/openvpn/wiki/SWEET32

Da du nicht geschrieben hast, was du genau wo probiert hast anzupassen, hier mal was ich gerade getestet habe:
In /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf den Eintrag cipher AES-128-CBC # AES hinzugefügt und dann VPN neu gestartet mit /var/packages/VPNCenter/target/scripts/openvpn.sh restart

Danach die Client Konfiguration (openvpn.conf) im DSM > VPN neu exportiert und dort neben dem Hostname (den man ja immer abändern muss) ebenfalls noch den Eintrag cipher AES-128-CBC # AES weiter unten eingetragen.

Danach neu verbunden und die Meldung die du zu SWEET32 bekommst ist weg.

Den Paket-Neustart scheint die Änderung zu überstehen, ob es eine neue Paketversion oder DSM Update übersteht habe ich nicht getestet.

Nachtrag:
Wenn du in der openvpn.conf am Client noch (wie im Log schon vorgeschlagen https://openvpn.net/index.php/open-source/documentation/howto.html#mitm )
remote-cert-tls server einträgst und dein Server auch ein Zertifikat (Systemsteuerung > Sicherheit > Zertifikat, Lets Encrypt z.B.) für sub.domain.de besitzt und das unter Konfigurieren dort auch für den Dienst VPNServer-OpenVPN festgelegt hast und der Hostname auch für den Verbindungsaufbau genutzt wird ( dritte Zeile in der openvpn.conf: remote sub.domain.de 1194, oder ähnlich), dann verschwindet auch die zweite Warnung bezüglich der Server-Zertifikats-Verifikation

 

[SvensenDE]

Nachtrag:
Wenn du in der openvpn.conf am Client noch (wie im Log schon vorgeschlagen https://openvpn.net/index.php/open-source/documentation/howto.html#mitm )
remote-cert-tls server einträgst und dein Server auch ein Zertifikat (Systemsteuerung > Sicherheit > Zertifikat, Lets Encrypt z.B.) für sub.domain.de besitzt und das unter Konfigurieren dort auch für den Dienst VPNServer-OpenVPN festgelegt hast und der Hostname auch für den Verbindungsaufbau genutzt wird ( dritte Zeile in der openvpn.conf: remote sub.domain.de 1194, oder ähnlich), dann verschwindet auch die zweite Warnung bezüglich der Server-Zertifikats-Verifikation

Erst ein mal vielen Dank

Hat wunderbar geklappt was du mir geschrieben hast...
Ein paar fragen hätte ich noch, und hab gleich dazu mal die Config von YoutubeVideo hier auch rein gepackt

Aber ich kann dir ja sagen was ich damit vor habe

Auf Empfehlung hat mein Chef auch eine Synology geholt und mich gefragt wie er am besten auf das Netzwerk zugreifen kann mit hohen Datenschutz

So wollte ich das erst mal auf meiner Privaten Synology mal Testen.
Und im Video hat der Typ auch was gehabt das jeder Clinte ein eigenes Zertifikat braucht

kann das sein das mein Zertifikat für DS und von VPN sich nicht vertragen?

Ich teste grade mal was poste dann mal meine Config vom Server und Clinte






ServerConfig

#
# Server-Config
#

# Achtung befindet sich ein Zeichen wie # oder ; vor einer Option, so gilt diese als auskommentiert und wird nicht verwendet!

dev tap
proto TCP
port 1194

cipher AES-128-CBC # AES

# Netzwerkparameter:
mode server
tls-server
ifconfig 192.168.123.1 255.255.255.0			 #IP-Adresse des Servers
ifconfig-pool 192.168.123.5 192.168.123.55 255.255.255.0 #IP-Adressen die per DHCP an die Clients verteilt werden
;ifconfig-pool-persist ipadressen.txt 			 #jeder Client bekommt beim naechsten Verbindungsaufbau seine alte IP-Adresse zugeteilt
;max-clients 10									#maximale Anzahl an Clients die sich gleichzeitig mit dem Server verbinden koennen
;client-to-client								#erlaubt es Clients miteinander im Netzwerk zu kommunizieren

#Zertifikate:
pkcs12 server.p12
dh dh4096.pem

#zusaetzliche Sicherheit:
tls-auth ta_tutorial.key 0        #Richtung auf server "0"  (Schluessel erstellen mit "openvpn --genkey --secret ta_tutorial.key" oder Link in Windows)

cipher AES-256-GCM	              #AES mit 256 Bit im Cipher Block Chaining Mode
tls-version-min 1.2	              #aktuellste tls-Version erzwingen - nur mit OpenVPN ab 2.3.3 und hoeher
auth SHA512	              		  #SHA-2 mit 512 Bit - (Standart ist SHA-1)
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384			#Extrem sicher
#tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256			#Sehr sicher
#tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256			#kompatibel und recht sicher
remote-cert-tls client            #bei dem Server ist es "client". Passende Zertifikate werden hierfuer benoetigt!

# Optionen zur Aufrechterhaltung der Verbindung
ping-timer-rem
keepalive 10 60
persist-key
persist-tun

# Push-Optionen
push "persist-key"
push "persist-tun"
#### Netzwerkoptionen
;push "dhcp-option DNS 192.168.123.1"   	#erster DNS-Server
;push "dhcp-option DNS 192.168.x.x"		#zweiter DNS-Server
;push "dhcp-option WINS 192.168.123.1"		#WINS-Server
#### NetBIOS optionen - nur eine verwenden!
;push "dhcp-option DISABLE-NBT" 		#NetBIOS ausschalten
;dhcp-option NBT 8 				#Namensaufloesung: erst WINS-Server dann Broadcasts


#
# Diese Konfigurationsdatei wurde fuer ein Shizzo.tv Tutorial erstellt und wird exclusiv veroeffentlicht auf
# www.wakusi.de
#

Clint Config

#
# Einfache Client-Config 
#

dev tap
client

# hier muessen die Server-Adresse, -Port und -Protokoll angegeben werden
remote 192.168.44.4 1194 udp # Anderes Beispiel fuer Dyndns mit default Werten: remote einAusgesuchterName.spdns.de 1194 udp

#Zertifikate:
pkcs12 client1.p12    #Schluesselsnamen eingeben  Bsp:"pkcs12 martin.p12"  

#zusaetzliche Sicherheit: 
tls-auth ta_tutorial.key 1        #Richtung auf client "1"  (Schluessel erstellen mit "openvpn --genkey --secret ta_tutorial.key" oder Link in Windows)
;cipher BF-CBC                    #OpenVPN-Standartverschluesselung Blowfish bei 128 Bit
;keysize 256                      #max 448 bits bei Blowfish moeglich
cipher AES-256-GCM	              #AES mit 256 Bit im Cipher Block Chaining Mode
tls-version-min 1.2	              #aktuellste tls-Version erzwingen - nur mit OpenVPN ab 2.3.3 und hoeher
auth SHA512	              		  #SHA-2 mit 512 Bit - (Standart ist SHA-1)
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384			#Extrem sicher
#tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256			#Sehr sicher
#tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256			#kompatibel und recht sicher
remote-cert-tls server            #bei dem Client ist es "server". Passende Zertifikate werden hierfuer benoetigt!
verify-x509-name "server" name    #verify-x509-name <common-name des servers> name

#
# Diese Konfigurationsdatei wurde fuer ein Shizzo.tv Tutorial erstellt und wird exclusiv veroeffentlicht auf
# www.wakusi.de
#

 

[laserdesign]

Hallo.

"dev tap" ist nicht verfügbar.

 

[Fusion]

Er ist ja noch nicht fertig, aber hast recht, ist mir auch grad aufgefallen.
Hat ja gemeint er testet was und meldet sich dann. Die config ist eine generierte aus dem youtube video.
Würde ich aber auch löschen hier, die verwirrt andere Leser nur.

 

[SvensenDE]

Hallo.

"dev tap" ist nicht verfügbar.

Ok das wusste ich nicht das dev tap nicht auf der Syno geht

Hier die Aktuelle Config die läuft.

ich muss erst mal sagen das VPN neuland für mich ist

Was ist eigentlich die auth-user-pass, und ich würde gern das so machen das jeder sein eigenes Client zertifikat hat wie da im Video auf Youtube

push "route 10.8.0.0 255.255.255.0"
dev tun

management 127.0.0.1 1195

server 10.8.0.0 255.255.255.0


dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto tcp6-server
port 1194

cipher AES-256-CBC
tls-version-min 1.2
auth SHA512
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256

dev tun
tls-client

remote domain.de 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option 10.8.0.1


cipher AES-256-CBC
tls-version-min 1.2
auth SHA512
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
remote-cert-tls server

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2


comp-lzo

reneg-sec 0

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

 

[Fusion]

Die Certificates kann man ja mal einkürzen, sieht ja schrecklich aus.

Zu den Optionen gibt es auch alle Infos hier z.B.
https://openvpn.net/index.php/open-source/documentation/howto.html

Synology hat halt vom Standard mit Client Zertifikat auf User/Pass umgestellt, daher client-cert-not-required Option.
auth-user-pass weißt den Client an direkt mal nach einem Passwort zu fragen, bevor der Verbindungsaufbau losgeht.

Für Client Certificates siehe auch
https://forum.synology.com/enu/viewtopic.php?t=114830
oder
http://www.synology-forum.de/showth...Zertifikaten-Static-Key-und-Authentifizierung

Musst halt mal schauen, was noch passt mit aktuellen DSM/VPN

 

[SvensenDE]

Die Certificates kann man ja mal einkürzen, sieht ja schrecklich aus.

Zu den Optionen gibt es auch alle Infos hier z.B.
https://openvpn.net/index.php/open-source/documentation/howto.html

Synology hat halt vom Standard mit Client Zertifikat auf User/Pass umgestellt, daher client-cert-not-required Option.
auth-user-pass weißt den Client an direkt mal nach einem Passwort zu fragen, bevor der Verbindungsaufbau losgeht.

Wie meinst du das einkürzen?

Kann das sein das Synology VPN kein vollwertiges OpenVPN unterstützt?
Und kann das sein das OpenVPN mein Zertifikate nutzt die ich Sicherheitseinstellung in der DS habe?


Bin ja schön glücklich das ich schon mal ordentliche verschlüsselung habe für Öffentliche Hotspots oder wenn man mal im Hotel ist.

Eine Frage hätte ich noch wie kann man das am besten für Firma umsetzen wenn mehrer drauf zugreifen wollen?
Und falls jemand nicht mehr da ist man ihn die Rechte weg nehmen kann?

 

[Fusion]

Dein Posting hier einkürzen, ich muss nicht unbedingt ein Bildschirm voll an Zertifikaten hier lesen. Damit kann man eh nichts anfangen normal.
Also was in die Richtung

-----BEGIN CERTIFICATE-----
MIIHhzCCBW+gAwIBAgIBLTANBgkqhkiG9w0BAQsFADB9MQswCQ YDVQQGEwJJTDEW
.....
-----END CERTIFICATE-----

Und das zitieren nur des zitierens willen brauchst auch nicht, wenn du nicht einen ganz speziellen Punkt rausgreifst. Danke.

Wieso kein vollwertiges OpenVPN? Das sind die offiziellen Quellen mit angepasster config.

OpenVPN 2.3.11 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Aug 3 2016
library versions: OpenSSL 1.0.2j-fips 26 Sep 2016, LZO 2.09
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes enable_http_proxy=yes enable_iproute2=no enable_libtool_lock=yes enable_lzo=yes enable_lzo_stub=no enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=no with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_plugindir='$(libdir)/openvpn/plugins' with_sysroot=no
git revision: refs/heads/DSM6-0/55bbc37a67d97a47

Das TLS Zertifikat welches du unter Systemsteuerung > Sicherheit > Zertifikat für VPNServer-OpenVPN konfiguriert hast wird natürlich genutzt.

Bei mehreren Benutzern (wie viele?) müsste man diesen eben Berechtigung für VPN geben (oder sollen diese wiederum nicht auf die DS zugreifen dürfen?) und mit Benutzer/Passwort und/oder Client Zertifikaten arbeiten und dann im Fall des Falles Benutzer/Passwort und/oder Cert entfernen, braucht man ja nicht mehr (oder falls Daten noch vorübergehend erhalten bleiben sollen nur das Passwort ändern und/oder cert löschen).
Bei deutlich mehr als ein paar Nutzern müsste man sich mal umschauen, wie man da was automatisieren kann mit Scripten oder ähnlichem etc, damit man nicht alles von Hand machen muss.

 

[SvensenDE]

Ok ja das kriege ich für Nächsten Themen und Antworten hin

Ja ich denke auch ich werde das erst mal Über Synology Freigabe machen...
Eine frage hätte ich noch .... ist möglich das die VPN Clients nicht das Internet nutzen vom Server sondern ihr eigenes und nur zugriff auf das Netzwerk haben?

 

[Fusion]

Das ist der Normalfall. Erst wenn du die Gateway redirect Option im openvpn.conf auf dem Client aktivierst / Auskommentierung aufhebst würde sämtlicher Traffic über das VPN laufen.
In der Standard-Config geht wirklich nur der Traffic der auch für IPs im Server-Netz gedacht ist durch den Tunnel.

 

[SvensenDE]

Hm... sorry hab das nicht ganz verstanden
openvpn.conf (server) hab ich nicht mit Gateway redirect drin aber in der VPNConfig.ovnp ist das hier drin

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

 

[Fusion]

Ja, hab mich im Namen vertan, aber "auf dem Client" hatte ich ja geschrieben.

#redirect-gateway def1
-> Nur Traffic für Ziele im VPN Server Netz gehen durch den Tunnel
redirect-gateway def1
-> Sämtlicher Traffic geht durch den Tunnel.

 

[Triple-M]

Ich habe mal 3 Fragen zum Thema OpenVPN bei Synology und sorry wenn ich nerve damit aber ich kenne mich noch nicht so gut mit dem Thema aus.

Ist OpenVPN sicher bzw. ist die Verbindung und die Passwort-Übertragung gesichert?

Was muss ich unter Synology VPN Server einstellen um OpenVPN mit IPv6 nutzen zu können? Muss man unter Präfix etwas eingeben oder macht die DS dies automatisch?

Mein Internet-Anschluss zuhause nutzt DS Lite, muss die Gegenstelle also z. B. das Smartphone dann auch IPv6 unterstützen damit ich eine VPN-Verbindung per OpenVPN aufbauen kann oder reicht IPv4?

 

[ScottyC]

...Ist OpenVPN sicher bzw. ist die Verbindung und die Passwort-Übertragung gesichert?...

Ein absolutes "sicher" wird's wohl nicht geben; meiner Meinung nach ist ein großer Vorteil von Open VPN, dass ich zwei Dinge benötige, um die Verbindung aufzubauen:
1. Das Passwort des Users
2. Das von der DS ausgestellte OpenVPN-Zertifikat
Eine solche Zwei-Faktor-Authentisierung ist schon ein sehr guter Schutz!

Diesen Artikel finde ich sehr interessant; er gibt einen kurzen und guten Überblick über die VPN-Möglichkeiten, die auch eine DS bietet:
http://www.deutscher-vpn.de/pptp-l2tp-openvpn.html

 

[Triple-M]

Also ich probiere jetzt mal das ganze über OpenVPN aber ich kann unter der Einstellung "IPv6 Server-Modus aktivieren" keinen Präfix auswählen. Es steht zwar in der Hilfe das ich unter der Netzwerk-Schnittstelle DHCPv6 auswählen soll aber muss man dann nicht DHCP bei der FritzBox ausschalten?

 

[sdxReal]

Servus zusammen,
ich bin wahrscheinlich komplett falsch hier deshalb bitte ich schonmal um Entschuldigung...
ich wollte eigentlich nur eine einfache frage stellen hab aber noch nicht rausgefunden wie das hier geht, da ich mich eben erst registriert habe und mich erst umschauen muss aber das Thema ist grade sehr wichtig für mich und deshalb bitte und hoffe ich auf schnelle antworten und verzeiht mir meine Unwissenheit.
ich wollte mal wissen wenn ich über eine vpn Verbindung ins internet gehe und dann zb was auf twitter poste ob man dass dann trotzdem auf mich zurückverfolgen kann oder ob das nur geht wenn ich mich mit dem selben twitter account ohne eine vpn anmelde.

vielen dank schonmal an alle die mir hier antworten und mir evt helfen können. werde mich in Zukunft mehr bemühen meine beiträge an der richtigen stelle zu posten.

VG

 

[Fusion]

@sdxReal - du meinst mit verschiedenen Twitter Accounts?

Solange du dich mit dem Extra Account niemals ohne VPN einloggst lassen sie sich zumindest nicht im ersten Schritt, wenn es nur um die IP geht, zurück verfolgen.
Aber es gibt ja auch noch andere Tracking Methoden.
ist dann immer auch die Frage "wer" es zurück verfolgen kann und mit welchem Aufwand.