Privacy-Handbuch
Unabhängig von der eingesetzten VPN Technologie gibt es ein paar allgemeine Tipps für die Einrichtung eines VPN Zugangs zum privaten Heimnetz oder in ein kleines Firmennetzwerk.
Einfaches Konzept (für Einsteiger)
Wenn man nicht in finstere Abgründe der IT abtauchen will, könnte man die VPN Funktionalitäten von modernen Routern der mittleren oder höheren Preiskategorie verwenden. Wenn man sich via VPN aus dem Internet mit eigenen Router verbindet, hat man praktisch die gleichen Möglichkeiten, wie bei einer Verbindung via WLAN zuhause auf der Couch. So kann man von unterwegs auf alle heimischen Ressourcen zugreifen ohne die privaten Server ins Internet exponieren zu müssen.
Wenn der Internet Provider keine feste IP-Adresse für den Anschluss bereitstellt, benötigt man einen DyDNS Account und muss diesen Account im Router konfigurieren (s.u.)
Fritz!Boxen mit Fritz!OS ab Version 7.50 können ein Wireguard VPN bereitstellen, das den aktuellen Sicherheitsanforderungen an VPNs entspricht. Ältere Version von Fritz!OS beherrschen nur IPsec/IKEv1 mit schwachen Krypto-Parametern, das man mit aktuellen Smartphones (Android, iPhones) nicht mehr verwenden kann.
-
Telekom Router ab der Baureihe Speedport Smart 3 enthalten eine rudimentäre Wireguard Implementierung, die hinsichtlich einfachster Bedienung optimiert wurde.
Mit wenigen Klicks wird eine Wireguard Konfiguration für einen einzelnen Nutzer erstellt, die man via QR-Code oder Konfigurationsdatei auf mehreren Clients importieren kann.
Sicheres Konzept (für Professionals)
Der Netzwerkplan für die Platzierung eines VPN-Serves als Zugangsschutz vor einem privaten Heim- oder Firmennetz könnte grob gezeichnet wie folgt aussehen:
Auch bei der Nutzung des WLAN kann man nur per VPN auf die privaten Ressourcen zugreifen. (So kann man Gästen einen WLAN Zugang geben ohne die privaten Ressourcen zu gefährden.)
Das private, geschützte Netz hat im Beispiel den DNS Suffix "grotta.del.cane". Einzelen Server können via DNS z.B. als "cloud.grotta.del.cane" oder via IP-Adresse angesprochen werden.
Der Zugriff auf diese privaten Ressourcen ist von überall auf der Welt nur via VPN möglich.
Der VPN-Server kann gleichzeitig die Aufgaben einer Firewall übernehmen. Es gibt wartungsarme Appliances für diese Aufgabe wie NitroWall von der Nitrokey GmbH. Man muss sich keinen Server zusammenbasteln. Aber auch diese Appliances erfordern IT Kenntnisse!
Über das Transfernetz ist der VPN-Server mit dem Router verbunden.
Der Router ist über einen dynamischen DNS Namen (DynDNS Adresse, s.u.) oder eine feste IP-Adresse aus dem Internet erreichbar. Diese öffentliche Adresse des Routers wird auf den VPN Clients (Road Warriors) als Endpunkt für die VPN Verbindungen konfiguriert.
Eingehender VPN Traffic von den VPN Clients aus dem Internet wird via Portforwarding an den VPN Server weitergeleitet. Bei der Fritz!Box findet man es im Menü "Internet - Freigaben".
DynDNS Adresse einrichten
Wenn der Internet Provider keine feste IP-Adresse für den Anschluss bereitstellt, benötigt man einen DyDNS Account. Dieser Account stellt einen dynamischen DNS Namen zur Verfügung, unter dem der eigene Router bei wechselnden IP-Adressen aus dem Internet erreichbar ist.
Der Anbieter deSEC bietet kostenlose (spendenfinanzierte!) DynDNS Accounts, die DNSSEC signiert werden und die man sehr einfach und anonym anlegen kann.
Auf der Webseite zur Registrierung wählt man den Namen für die Subdomain und gibt eine E-Mail Adresse an. Es wird eine E-Mail mit Verifikationslink geschickt. Wenn man auf den Link klickt, werden die Daten angezeigt (Update-URL, Name, Passwort).
Es ist empfehlenswert und wichtig, die Daten in einem Passwortmanager wie KeepassXC zu speichern, falls man mal einen neuen Router konfigurieren muss. ;-)
Diese Daten gibt man im Router bei der DynDNS Konfiguration ein (Beispiel: Fritz!Box)
Der DynDNS Name wird auf den VPN Clients als Endpunkt für den VPN Server verwendet.
