IPv6-Leck – NordVPN behebt von mir gemeldeten Bug im Linux-Client
Bugs oder Fehler passieren und das ist in Ordnung. Entscheidend ist, wie ein Unternehmen darauf reagiert und vor allen Dingen wie schnell sie sich darum kümmern. Mir ist vor ein paar Tagen ein Bug beim Linux-Client von NordVPN aufgefallen, der unter bestimmten Umständen zu einem IPv6-Leck geführt hat. Die für den Linux-Client zuständigen Entwickler haben eine neue Version 3.8.6 zur Verfügung gestellt, die den Fehler behebt.
Du benutzt ein VPN schließlich unter anderem, Deine IP-Adresse zu verstecken. Dabei muss nicht immer eine illegale Aktivität wie der Download von urheberrechtlich geschützten Torrents dahinterstehen. Vielleicht willst Du einfach Tracking vermeiden. Natürlich setzt Du zum Beispiel auch ein VPN ein, wenn Du Dich in einem fremden WLAN befindest.
IPv6-Leck in NordVPN
Nachdem ich den Fehler gefunden und reproduzieren konnte, habe ich ihn gemeldet. Das IPv6-Leck ließ sich folgendermaßen provozieren. Mein Haupt-System ist Linux Mint 20, aber das Problem hat es auch bei anderen Distributionen gegeben. Dazu sagen muss ich, dass NordVPN zwar noch keine IPv6-Adressen unterstützt, sie aber beim Start des Clients deaktiviert.
Das Leck hat sich mit dem alten Client wie folgt reproduzieren lassen:
- Mein InfinityBook startet und NordVPN verbindet sich ebenfalls automatisch. Du kannst das VPN aber auch manuell starten, das ist hier egal.
- Nun schließe ich den Deckel des Laptops und mein Rechner geht in den Suspend-Modus – legt sich also schlafen.
- Im Anschluss öffne ich den Deckel wieder und bei meinem Rechner zeigt sich plötzlich eine IPv6-Adresse. Eine Abfrage mit nordvpn status verrät mir aber, dass ich weiterhin mit dem VPN-Verbunden bin. Prüfe ich die externe IP-Adresse, bekomme ich IPv4 vom VPN und IPv6 vom ISP.
- Selbst nachdem ich mich manuell erneut mit NordVPN verbinde, ist das IPv6-Leck weiterhin vorhanden. Also eine einfache erneute Verbindung mit nordvpn c CH (Schweiz) klappt nicht.
- Ich bekomme das Leck nur weg, wenn ich die Verbindung komplett trenne (nordvpn d) und mich danach erneut verbinde (nordvpn c CH).
Hier ein Screenshot mit dem IPv6-Leck. Du siehst, der VPN-Client ist aktiv und sollte die IPv6-Adresse deaktivieren. Sie zeigt sich aber trotzdem:
Das Problem war übrigens unabhängig vom VPN-Protokoll. Es ist aufgetreten, ob ich mich via OpenVPN oder WireGuard verbunden habe. Der neueste Client hat das Problem mit dem IPv6-Leck nicht mehr. Ich kann meinen Deckel öffnen und schließen, wie ich will. Der Client verbindet sich automatisch wieder und unterdrückt die IPv6-Adresse.
Setzt Du den VPN-Anbieter ebenfalls unter Linux ein, würde ich Dir zu einem schnellen Update raten, sofern Du den Suspend-Modus einsetzt.
IPv6 komplett deaktivieren – IPv6-Leck unterbinden
Andere VPN-Anbieter haben ähnliche Probleme. Ich habe früher einen anderen Anbieter genommen, weil auch der einen brauchbaren Linux-Client anbietet – allerdings hat der ein echtes Problem mit IPv6. Ich habe ein Lifetime-Abo bei dem Anbieter abgeschlossen und deswegen kann ich das immer noch testen. Benutzen tue ich den Anbieter eigentlich nicht mehr.
Willst Du komplett auf Nummer Sicher gehen, deaktiviere IPv6 manuell auf Deinem Rechner. Das ist zwar etwas Aufwand, hat aber den Vorteil, dass Du Dich nicht auf den VPN-Client des jeweiligen Anbieters verlassen musst. IPv4 unterstützen natürlich alle und das Protokoll wird uns noch eine ganze Weile begleiten. Unterstützung für IPv6 bieten derzeit wenige, die meisten deaktivieren es bei der Verbindung zum Virtual Private Network. Funktioniert das nicht, gibt es eben ein unschönes IPv6-Leck. Ist IPv6 auf Deinem System erst gar keine Option, gibt es auch keine Probleme damit.
Es gibt mehrere Optionen, wie sich IPv6 unter Linux deaktivieren lässt. Unter modernen Ubuntu-Varianten und Abkömmlingen wie Linux Mint kannst Du zum Beispiel die Datei /etc/sysctl.conf editieren. Fügst Du hier folgende Zeilen ein:
net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1
Entweder startest Du das System nun neu, oder Du führst nachfolgenden Befehl aus:
sudo sysctl -p
Willst Du die IPv6-Adresse wieder aktivieren, löschst Du die oben genannten Zeilen oder kommentierst sie mit einem # aus. Ist IPv6 nun generell deaktiviert, ist es auch möglich, IPv6 für Tests temporär bis zum nächsten Neustart zu aktivieren:
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=0 sudo sysctl -w net.ipv6.conf.default.disable_ipv6=0 sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=0
Ein =1 am Ende würde entsprechend deaktivieren.
Vorsicht! Wechselst Du das WLAN und im Netzwerk-Manager ist IPv6 für die neue Adresse aktiviert, werden die Einstellungen überschrieben. Prüfe zur Sicherheit, ob IPv6 aktiviert ist oder nicht und deaktiviere es auch im Netzwerk-Manager.
Es gibt noch andere Optionen.
IPv6 via GRUB deaktivieren
Du könntest die IPv6-Adresse auch via Bootloader GRUB und der Datei /etc/default/grub deaktivieren. Dazu musst Du zwei Zeilen editieren. In der Datei findest Du:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash" GRUB_CMDLINE_LINUX=""
Du musst sie wie folgt anpassen:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash ipv6.disable=1" GRUB_CMDLINE_LINUX="ipv6.disable=1"
Im Anschluss führst Du diesen Befehl aus:
sudo update-grub
Ich bevorzuge die erste Methode und nicht die über GRUB, wenn ich ehrlich bin. Warum das so ist, kann ich nicht genau sagen. Auf jeden Fall funktioniert das bei mir und eine alte Admin-Weisheit heißt: never change a running system.
IPv6 im Router deaktivieren
Noch eine Option ist es, IPv6 direkt im Router zu deaktivieren und damit das IPv6-Leck an der Wurzel packen. Der Haken an der Sache ist hier allerdings, dass Du nicht bei allen Routern IPv6 deaktivieren kannst. Bei einer FRITZ!Box 7530 würde das zum Beispiel funktionieren.
Soweit ich weiß, liefern viele ISPs aber Router aus, auf denen Du IPv6 nicht deaktivieren kannst. Ist das der Fall, kannst Du Dir trotzdem helfen, indem Du einen weiteren Router zwischen Dein Gerät und den Router zum Internet schaltest.
Du kannst Dir sogar einen eigenen VPN-Router basteln. Das ist mit einem Raspberry Pi einfacher, als Du vielleicht denkst. In so einem Fall kannst Du auch Geräte mit einem VPN verbinden, für die es keinen nativen Client gibt. Ein prominentes Beispiel wäre ein Chromecast. Bei dem selbst gebastelten VPN-Router hast Du die Möglichkeit, IPv6 zu deaktivieren.
Direkt im Router deaktivieren ist natürlich nur eine Option, wenn Du Zugriff auf das Gerät hast. Bist Du unterwegs, muss sich Dein VPN-Client um das IPv6-Leck kümmern oder Du deaktivierst das Protokoll selbst.
Deswegen mag ich NordVPN
Es ist nicht der erste Bug, den ich an NordVPN gemeldet habe. Das Unternehmen hat stets schnell reagiert und neue Linux-Clients ausgeliefert. Gerade deswegen mag ich das VPN, weil es die Linux-Unterstützung wirklich ernst nimmt. Außerdem funktioniert der Client auch mit Raspberry Pi OS (32-Bit sowie 64-Bit) und Ubuntu für Raspberry Pi.
Der Kundenservice ist echt Klasse. Er antwortet schnell sowie freundlich. Auf meinen ursprünglichen Bug-Report hatte ich binnen 4 Stunden eine Antwort. Der Anbieter kümmert sich einfach um seine Nutzer*innen, das ist mir schon mehrmals aufgefallen.
Der Linux-Client ist zwar ein Kommandozeilen-Programm, bietet aber fast alle Funktionen wie der Windows- oder Android-Client. Die Software bietet eine Autostart-Funktion und deswegen musst Du nicht wirklich oft auf die Kommandozeile. Willst Du das Land nur im Browser ändern, kannst Du Add-ons für Firefox und Chrome oder Chromium-basierte Browser wie Brave installieren. Unter Linux Mint sind auch Tricks mit Nemo-Aktionen möglich, um eine Art GUI zu nutzen.
NordVPN ist eines der besten VPNs, um das nervige Geoblocking zu umgehen – Netflix, Amazon Prime, YouTube, Zattoo, BBC iPlayer und so weiter.
NordVPN war einer der ersten VPN-Anbieter, der das VPN-Protokoll WireGuard unter Linux zur Verfügung gestellt hat – es nennt sich NordLynx und ist schneller. In der Zwischenzeit gibt es NordLynx für alle Betriebssysteme, auch Android und Windows.
Eine weitere Komponente, die ich sehr schätze, ist CyberSec. Das ist der integrierte Adblocker, der auch Tracker und Malware abwehrt. Vor allen Dingen unterwegs benutze ich die Funktion sehr gerne, weil mich dann mein internes Pi-hole nicht schützt. Es gibt übrigens auch öffentliche Pi-holes, wie zum Beispiel dnsforge.de.
Du kannst den Anbieter ausprobieren, weil es eine 30-tägige Geld-Zurück-Garantie gibt. Gefällt Dir NordVPN nicht, holst Du Dir einfach Dein Geld wieder.
Schnäppchen!
Du suchst ein günstiges VPN? Dauerhaft günstige Angebote. Bei manchen Anbietern bekommst Du bis zu 83 % Rabatt plus 3 Monate kostenlos.
Auf der Schnäppchen-Seite findest Du auch Deals für Spiele, E-Books und so weiter.
Danke!
Hatte diese Info zum IPv6 Abschalten schon mal irgendwo gefunden, aber auch wieder verloren.
Könnte es sein, dass aktuelle Ubuntu's dadurch auf älterer Hardware etwas performanter funktionieren?
Das kann ich Dir leider nicht beantworten.