Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
Diese Community verwendet Tracking-Tools Matomo zur Verbesserung des Angebots. Mit Zustimmung hilfst Du uns unsere Seite zu verbessern und akzeptieren unsere Datenschutzerklärung. Vielen Dank!   Erfahren mehr.
Nicht Zustimmen Zustimmen
MichaelUM

Einrichtung eines VPNs

Geschrieben von Droggelbecher:


VPN – Was ist das, was kann man damit machen und wie richte ich ein VPN ein?


VPN steht für „virtual private Network“, auf Deutsch „virtuelles privates Netzwerk“.

Der Eine oder Andere dürfte sich noch an die guten alten „LAN-Partys“ erinnern. Früher, als es noch keinen Online-Multiplayer gab, sonern nur „Lokales LAN“, trugen Gamer ihren PC zu einem Freund, wo dann über ein LAN-Kabel ein Netzwerk hergestellt wurde. Sprich: Über den Router oder direkt von Rechner zu Rechner legte man ein LAN-Kabel, konfigurierte ein lokales Netzwerk, sodass die Rechner miteinander kommunizierten und konnte Daten tauschen, spielen, etc.

Ein VPN ist im Grunde nichts anderes als das, nur, dass die dabei verbundenen Rechner nicht wirklich per LAN verbunden sind, sondern über das Internet – der VPN simuliert dabei, dass die Internetverbindung eine direkte LAN-Verbindung sei.

Dies ist gerade dann sinnvoll, wenn man zum Beispiel im Home Office auf Daten im Netzwerk der Firma zugreifen muss. Denn meist sind gerade datenschutzrechtliche oder sonstwie sensible Daten im Firmennetz soweit geschützt, dass ein regulärer Zugriff aus dem Internet abgeblockt wird. Dann braucht man einen VPN, der simuliert dann die LAN-Verbindung, sodass das Firmennetzwerk „denkt“, dass der verwendete Rechner im Home-Office in der Firma steht und am Router hängt.


Wie richtet man solch einen VPN nun ein?

Ein VPN wird immer als Punkt-zu-Punkt Verbindung vom Client (dem PC) zu einem VPN-Server aufgebaut. Der VPN-Server kann der Router im Zielnetz sein oder ein Rechner. Bei Firmen wird der Server meist auf dem Router eingerichtet. Auf dem Client wird dann die passende VPN-Software bzw. Anwendung installiert. In der Anwendung gibt man dann die IP des Servers ein und meldet sich ggf. mit seinen Benutzerdaten an – Zack! Man ist drin.


Was kann ich mit einem VPN machen?

Zum einen ist da der besagte Zugriff auf Daten im Firmennetz.

Zum anderen gibt es auch im Privaten Bereich mehrere Nutzungsmöglichkeiten:

Man kann seine IP verschleiern bzw. simulieren, dass man in einem anderen Land sitzt. Man kann über einen VPN seinen kompletten Datenverkehr weitestgehend verschlüsseln, sichern und vor neugierigen Blicken schützen.

Und man kann zum Beispiel über ein VPN auch wunderbar Retro-Games mit entfernten Freunden spielen, welche nur LAN unterstützen (Games aus den 90ern sind heute noch richtig lustig!).


Einschränkungen und Hinweise zum Thema VPN


Es gibt aber auch einige wichtige Dinge, die man bei VPNs beachten muss.

Da wäre zum Beispiel das Thema IPv6/DS-Lite.

Denn ein VPN funktioniert nur dann, wenn der Server und der Client „die selbe Sprache sprechen“, also das selbe IP-Protokoll nutzen.

iPv4 und IPv6 verhalten sich zueinander wie Deutsch zu Chinesisch. Sprich: Wenn ihr DS-Lite Kunden bei einem Kabelanbieter seid, dann muss der Server in der Firma auch IPv6 unterstützen. Denn bei DS-Lite habt ihr keine eigene IPv4, sondern nur eine IPv6 – Ipv4 wird getunnelt.

Es gibt die euch zugewiesene IPv4 dabei quasi 50 mal. Der VPN-Server wüsste also nicht, wohin er seine Daten senden müsste, wenn ihr Datendarüber anfordert – das ist so, als ob euere Hausnummer 50 mal in der selben Straße existieren würde und ihr ein Paket bestellt Der DHL-Bote hätte schnell keinen Bock mehr und würde das Paket wegwerfen (und gekündigt werden, aber das ist eine andere Geschichte). Der VPN macht dabei das selbe – er meldet einen Timeout, da die Antwort nicht fristgerecht an euren Clienten geliefert werden konnte.

Sofern der VPN-Server kein IPv6 kann, braucht ihr alternative Lösungen, um IPv4 quasi vorzugaukeln. Das geht zum Beispiel mit Diensten wie „DynDNS“.

Und noch ein wichtiger Hinweis zu VPN:

Wenn ihr mit VPN surft oder Daten zieht, ist die Verbindung langsamer als im normalen Netz. Warum? Weil hierbei nicht allein die Downstream-Leistung eures Anschlusses greift, sondern auch die UPLOAD-Rate des Servers. Sprich: Auch wenn ihr eine 400 Mbit/s-Leitung habt, die Firma aber nur 2 Mbit/s Upload, dann werdet ihr entsprechend mit 2 Mbit/s die Daten heim bekommen. Ein VPN eignet sich somit weniger für größere Downloads.

Das waren soweit die wichtigsten Eckpunkte zum Thema VPN.

Speichern Abbrechen
  • 0
    Unfassbar
  • 0
    Her damit
  • 0
    Ganz nett
  • 0
    Naja
  • 0
    No way
9 Kommentare
2018-02-21T12:55:05Z
  • Mittwoch, 21.02.2018 um 13:55 Uhr
Hallo MichaelUM,
einige Punkte in diesem Artikel sind… mindestens ungenau. Hier meine Kommentare und Ergänzungen:
1. „Man kann über einen VPN seinen kompletten Datenverkehr weitestgehend verschlüsseln, sichern und vor neugierigen Blicken schützen.“
Man sollte sich sehr genau darüber im Klaren sein, welche Schutzwirkung das VPN in diesem Fall hat. Angenommen, wir haben eine grundsätzlich unverschlüsselte Kommunikation z.B. via http. Die zusätzliche Vertraulichkeitssicherung durch das VPN ist nur auf dem Weg vom Client-Rechner bis zum VPN-Server gegeben. Der VPN-Server kann die Daten im Klartext lesen(!) und auch der Weg vom VPN-Server zum Ziel ist dann wieder unverschlüsselt. In diesem Fall muss man dem VPN-Betrieber also ein immenses Vertrauen entgegenbringen. Nützlich ist das aus meiner Sicht nur, wenn man sich in einem fremden, offenen WLAN befindet o.ä., da die Daten dort auf dem Übertragungsweg tatsächlich gefährdet sind. In den meisen anderen Fällen installiert man mit dem VPN-Anbieter eine weitere Stelle, die Einsicht in die Daten nehmen kann – eher kontraproduktiv. Wenn man den VPN-Server allerdings selbst kontrolliert, ist das wieder was anderes. Aber das ist ja bei diesen Privacy-VPN-Angeboten auf dem Markt nicht der Fall.
Nun zum Thema DS-Lite.
2. „ein VPN funktioniert nur dann, wenn der Server und der Client „die selbe Sprache sprechen“, also das selbe IP-Protokoll nutzen […] Wenn ihr DS-Lite Kunden bei einem Kabelanbieter seid, dann muss der Server in der Firma auch IPv6 unterstützen.“
Zunächst mal ist es richtig, dass eigentlich nur IPv6←→IPv6 und IPv4←→IPv4 geht. Da es heute aber noch nicht praktikabel ist, IPv6-only-Anschlüsse zu nutzen, weil viele Internetdienste eben noch in der v4-only-Welt stecken, gibt es da ja Umsetzungsmechanismen. Einer davon ist das bei DS-Lite eingesetzte Carrier-grade NAT. Wenn der VPN-Server IPv4-only ist, und der Client-Anschluss DS-Lite hat, ist die Verbindung durchaus machbar, und ich mache das auch regelmäßig so. Das Carrier-Grade NAT setzt dabei das die IPv4-Kommunikation für mich auf IPv6 um, wie auch bei HTTP-Verbindungen mit IPv4-only-Websites.
3. „Sofern der VPN-Server kein IPv6 kann, braucht ihr alternative Lösungen, um IPv4 quasi vorzugaukeln. Das geht zum Beispiel mit Diensten wie „DynDNS“.“
Hier werden zwei Dinge/Probleme vermischt. Zunächst hatte ich ja oben schon gesagt, dass der VPN-Server nicht unbedingt IPv6 sprechen muss, um von Dual-Stack-Lite-Anschlüssen erreichbar zu sein. Diese Richtung funktioniert auch, wenn man als DS-Lite-User nur die v4-Adresse des Servers kennt. Andersherum geht es bei DS-Lite nicht. 
Die zwei Probleme, die hier vermischt wurden, sind:
a) Problem: Man betreibt den VPN-Server hinter einem Anschluss, dessen Adresse (egal ob v4 oder v6) regelmäßig, z.B. täglich, wechselt. Mögliche Lösung: DynDNS. Man sagt den Nutzern nicht die IP-Adresse des Servers, die sich ja ständig ändert, sondern einen DNS-Namen mit kurzer TTL, hinter dem man immer die aktuelle IP des VPN-Servers hinterlegt.
b) Problem: Man will einen VPN-Server an einem DS-Lite-Anschluss betreiben. „Lösung“: Man kann den Server wg. des Carrier-grade NAT nicht mit einer IPv4-Adresse betrieben, sondern muss ihn v6-only betrieben. In dem Fall müssen die Clients dann entweder natives v6 haben oder ihrerseits einen v6-Tunnel nutzen, um eine Verbindung herstellen zu können. DynDNS hilft da nicht, weil es nicht zwischen den Protokollen umsetzt.
Viele Grüße und nichts für ungut,
Jan
2018-02-28T19:54:36Z
  • Mittwoch, 28.02.2018 um 20:54 Uhr
Danke! Sehr aufschlussreich. FG GL
2018-03-20T21:31:26Z
  • Dienstag, 20.03.2018 um 22:31 Uhr
Bedeutet das, dass die meisten Unitymedia Kunden kein VPN (Heimzugriff) nutzen können, da wir leider noch in eine IPV4 Welt leben?

Gilt zumindest für meinen Handy Vertrag, Arbeitsplatz...
2018-03-20T21:46:29Z
  • Dienstag, 20.03.2018 um 22:46 Uhr
Monteaup:
Bedeutet das, dass die meisten Unitymedia Kunden kein VPN (Heimzugriff) nutzen können, da wir leider noch in eine IPV4 Welt leben?

Gilt zumindest für meinen Handy Vertrag, Arbeitsplatz...

Kurz gesagt: Ja

Die meisten Handynetze nutzen noch IPv4, sowie die meisten Firmen. Daher sollte es bei dir funktionieren, ohne jetzt die aktuellen Gegenheiten zu kennen.

Das Problem ist eher folgendes: Die privaten Anschlüsse von Unitymedia laufen mit DS-Light und die Kunden haben IPv4 auf dem Smartphone. Das geht nicht.
Andersrum geht es: Also IPv4 Zuhause und DS-Light auf dem Smartphone funktioniert.

Andreas
2018-03-20T22:03:59Z
  • Dienstag, 20.03.2018 um 23:03 Uhr
Genauer:
Es funktioniert nicht einfach so trivial und kostet auch noch ein paar Euro.
Du brauchst einen Tunnelmechanismus dazwischen, der die Umsetzung  IPv4<>IPv6 macht.
Hier ist es etwas erklärt: http://www.feste-ip.net/fip-vpn/allgemeine-informationen/
2018-03-20T22:10:47Z
  • Dienstag, 20.03.2018 um 23:10 Uhr
Also über einen DS-Light Anschluss kann ich prima auf meinen IPv4-Anschluss zugreifen, ohne einen extra Dienst.

Wäre es andersrum, dann bräuchte ich eine "Übersetzung", das ist richtig.

Andreas
2018-03-22T09:10:41Z
  • Donnerstag, 22.03.2018 um 10:10 Uhr
Andreas:
Also über einen DS-Light Anschluss kann ich prima auf meinen IPv4-Anschluss zugreifen, ohne einen extra Dienst.

Andreas

Wenn der Server (Firma) kein PPTP benutzt.
2018-04-13T13:49:08Z
  • Freitag, 13.04.2018 um 15:49 Uhr
Monteaup:
Bedeutet das, dass die meisten Unitymedia Kunden kein VPN (Heimzugriff) nutzen können, da wir leider noch in eine IPV4 Welt leben?

Gilt zumindest für meinen Handy Vertrag, Arbeitsplatz...

Es gibt schon eine Möglichkeit, wenn man bereit ist zu frickeln. Ist aber nicht einfach, und definitiv nichts für Anfänger / Laien.

openvpn, das die VPN-Verbindungen realisiert, hat inzwischen IPv6-Optionen, mit denen man sagen kann: tunnel jeden Verkehr (IPv4 und IPv6) via IPv6 UDP-Paketen. Und das ist sehr gut, weit man bei offener Firewall in der ConnectBox/Fritzbox am DS-Lite Anschluß auch ankommende IPv6 Pakete empfangen kann (so auch die von openvpn).

Wenn man dann in der Firma IPv6 hat, und openvpn auch zuhause am DS-Lite Anschluß so konfiguriert, dann ist ein VPN-Tunnel jederzeit möglich: der ganze Verkehr zwischen Firma und zuhause (IPv4 und IPv6) geht über den IPv6-Tunnel. Da stört DS-Lite überhaupt nicht, denn von Außen betrachtet, ist der Tunnel reiner IPv6 Traffic, und der wird ja nicht beeinträchtigt.

Wenn man aber nur IPv4 am einen Ende hat (Firma, Handy, ...), dann braucht man noch einen Gateway, der IPv4 und IPv6 Adressen hat und hin- und her konvertiert. Sowas kann man via Amazon mieten: ein einfacher *kleiner* EC2 virtueller Server, auf dem man openvpn laufen läßt. Der empfängt via IPv4 (also Handy etc), und relays dann weiter via IPv6 an den openvpn auf der DS-Lite Seite. Einen EC2 Server kann man bei Bedarf starten und stoppen, und bezahlt nur je nach Nutzung.

Es funktioniert auch recht gut in der Praxis wenn es erst einmal aufgesetzt ist, aber da muß man schon sehr technik-affin sein um sowas hinzubekommen. Der oben erwähnte Dienst feste-ip ist da wesentlich einfacher zu nutzen.
2018-05-15T07:29:11Z
  • Dienstag, 15.05.2018 um 09:29 Uhr
Das mit feste-ip funktioniert wunderbar. Die Kosten halten sich auch in grenzen. Dass der traffic über feste-ip geht merkt man auch nicht. Server scheinen flott genug zu sein und die Daten sind sowieso verschlüsselt.

Danke!

Dateianhänge
    😄