Privacy-Handbuch

Unabhängig von der eingesetzten VPN Technologie gibt es ein paar allgemeine Tipps für die Einrichtung eines VPN Zugangs zum privaten Heimnetz oder in ein kleines Firmennetzwerk.

Einfaches Konzept (für Einsteiger)

Wenn man nicht in finstere Abgründe der IT abtauchen will, könnte man die VPN Funktionalitäten von modernen Routern der mittleren oder höheren Preiskategorie verwenden. Wenn man sich via VPN aus dem Internet mit eigenen Router verbindet, hat man praktisch die gleichen Möglichkeiten, wie bei einer Verbindung via WLAN zuhause auf der Couch. So kann man von unterwegs auf alle heimischen Ressourcen zugreifen ohne die privaten Server ins Internet exponieren zu müssen.

• Wenn der Internet Provider keine feste IP-Adresse für den Anschluss bereitstellt, benötigt man einen DyDNS Account und muss diesen Account im Router konfigurieren (s.u.)

• Fritz!Boxen könnten out-of-the Box als IPsec/IKEv1 VPN Server eingesetzt werden, wenn keine hohen Ansprüche an die Sicherheit der VPN-Verbindung gestellt werden. (Anleitung)

  Für Smartphones ist Fritz!VPN nicht geeignet. Außerdem ist Fritz!VPN NICHT geeignet, wenn man eine wirklich sichere Verbindung ins Firmennetz oder zwischen Standorten benötigt.

  Die Labor Version von Fritz!OS bietet auch Wireguard VPN, was den aktuellen Sicherheitsanforderungen an VPNs entspricht. Auf Smartphones benötigt am die Wireguard App, die via QR-Code konfiguriert werden kann. Für andere Clients kann die Konfiguration inklusive der benötigten Keys exportiert und auf den Clients importiert werden. Im Gegensatz zu Telecom Routern sind mehrere Clients und auch Site-to-Site Verbindungen mit anderen Fritz!Boxen möglich.

• Telekom Router ab der Baureihe Speedport Smart 3 enthalten eine rudimentäre Wireguard Implementierung, die hinsichtlich einfachster Bedienung optimiert wurde.

  Mit wenigen Klicks wird eine Wireguard Konfiguration für einen einzelnen Nutzer erstellt, die man via QR-Code oder Konfigurationsdatei auf mehreren Clients importieren kann.

Sicheres Konzept (für Professionals)

Der Netzwerkplan für die Platzierung eines VPN-Serves als Zugangsschutz vor einem privaten Heim- oder Firmennetz könnte grob gezeichnet wie folgt aussehen:

Auch bei der Nutzung des WLAN kann man nur per VPN auf die privaten Ressourcen zugreifen. (So kann man Gästen einen WLAN Zugang geben ohne die privaten Ressourcen zu gefährden.) 

• Das private, geschützte Netz hat im Beispiel den DNS Suffix "grotta.del.cane". Einzelen Server können via DNS z.B. als "cloud.grotta.del.cane" oder via IP-Adresse angesprochen werden.

  Der Zugriff auf diese privaten Ressourcen ist von überall auf der Welt nur via VPN möglich.

• Der VPN-Server kann gleichzeitig die Aufgaben einer Firewall übernehmen.

  Es gibt wartungsarme Appliances für diese Aufgabe wie NitroWall von der Nitrokey GmbH. Man muss sich keinen Server zusammenbasteln. Aber auch Appliances erfordern IT Kenntnisse!

• Über das Transfernetz ist der VPN-Server mit dem Router verbunden.

• Der Router ist über einen dynamischen DNS Namen (DynDNS Adresse, s.u.) oder eine feste IP-Adresse aus dem Internet erreichbar. Diese öffentliche Adresse des Routers wird auf den VPN Clients (Road Warriors) als Endpunkt für die VPN Verbindungen konfiguriert.

• Eingehender VPN Traffic von den VPN Clients aus dem Internet wird via Portforwarding an den VPN Server weitergeleitet. Bei der Fritz!Box findet man es im Menü "Internet - Freigaben".

  

DynDNS Adresse einrichten

Wenn der Internet Provider keine feste IP-Adresse für den Anschluss bereitstellt, benötigt man einen DyDNS Account. Dieser Account stellt einen dynamischen DNS Namen zur Verfügung, unter dem der eigene Router bei wechselnden IP-Adressen aus dem Internet erreichbar ist.

• Der Anbieter deSEC bietet kostenlose (spendenfinanzierte!) DynDNS Accounts, die DNSSEC signiert werden und die man sehr einfach und anonym anlegen kann.

• Auf der Webseite zur Registrierung wählt man den Namen für die Subdomain und gibt eine E-Mail Adresse an. Es wird eine E-Mail mit Verifikationslink geschickt. Wenn man auf den Link klickt, werden die Daten angezeigt (Update-URL, Name, Passwort).

  Es ist empfehlenswert und wichtig, die Daten in einem Passwortmanager wie KeepassXC zu speichern, falls man mal einen neuen Router konfigurieren muss. ;-)

• Diese Daten gibt man im Router bei der DynDNS Konfiguration ein (Beispiel: Fritz!Box)

  

• Der DynDNS Name wird auf den VPN Clients als Endpunkt für den VPN Server verwendet.

• Anonymisierung(?)
• VPN-Provider
• Heim-/FirmenVPN
• VPNs mit Windows
• VPNs mit Linux
  • OpenVPN
  • IPsec/IKEv2
  • Wireguard
  • IPv6 Off
  • Firewall
• Fritz!VPN
• Angriffe auf VPNs