Was passiert, wenn ich in der Gast-VM mit NAT ein VPN verwende?

Ich habe dieses Setup oft genug durchgeführt, um den Host von Einschränkungen durch zu restriktive VPN-Server zu befreien, und alles sollte wie gesagt funktionieren.

der Host navigiert wie gewohnt, während der Gast einen Tunnel von sich zum VPN-Server erstellt hat. Wenn ich also den Datenverkehr vom Gateway beobachte, sehe ich einen klaren und einen getunnelten Datenverkehr, richtig?

Richtig.

Werden dadurch Daten exfiltriert? Und aus Sicht eines externen Servers sollte ich, wenn ich mich über die VM verbinde, nur die IP des VPN und nicht die des Gateways sehen, oder?

Absolut richtig, solange sich der Beobachter nicht zwischen der VM und dem VPN-Server befindet. Nach dem Durchlaufen des VPN-Servers ist die IP eine, die vom Server zugewiesen wird.

Nach meinem Verständnis verhält sich der Host im NAT-Modus wie ein Router. Der Host navigiert also grundsätzlich wie gewohnt, während der Gast einen Tunnel von sich zum VPN-Server erstellt hat.

Ja. Der Host sieht so viel wie ein normaler Router, nicht mehr und nicht weniger.

(Hinweis: Wenn Sie VirtualBox verwenden, nutzt es nicht die NAT- oder Routing-Funktionen des Host-Kernels – der virtuelle „Router“ befindet sich im VirtualBox-VM-Monitor.)

Wenn ich also den Verkehr vom Gateway aus beobachte, sehe ich einen klaren und einen getunnelten Verkehr, richtig?

Sie sehen Pakete, die die VM tatsächlich über ihre Ethernet-Schnittstelle sendet. Das bedeutet, dass Sie normalerweise nur die verschlüsselten „äußeren“ VPN-Pakete sehen sollten (genau wie ein echter Router). Es gibt keine Zauberei in virtuellen Maschinen, die es dem Host ermöglichen würde, die „inneren“ getunnelten Pakete zu sehen, wenn dies nicht vorgesehen ist.

Und aus Sicht eines externen Servers sollte ich, wenn ich mich über die VM verbinde, nur die IP des VPN und nicht die des Gateways sehen, oder?

Ja.