VPN
Artikel in Arbeit
Dieser Artikel wird momentan von rolands11 erstellt. Als Fertigstellungsdatum wurde der 01.07.2018 angegeben.
Achtung: Insbesondere heißt das, dass dieser Artikel noch nicht fertig ist und dass wichtige Teile fehlen, oder sogar falsch sein können. Bitte diesen Artikel nicht als Anleitung für Problemlösungen benutzen!
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Dieser Artikel ist größtenteils für alle Ubuntu-Versionen gültig.
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
VPN steht als Abkürzung für Virtuelles Privates Netzwerk, und ist ein Sammelbegriff für die verschlüsselte Verbindung zweier oder mehrerer Rechner oder Netzwerke. Konkret werden damit in der Praxis folgende Anwendungsfälle umgesetzt:
Site-to-Site - Verbinden zweier oder mehrerer Netzwerke über das Internet
End-to-Site - Anbindung eines Clients an ein Netzwerk über das Internet
Anbindung eines Clients oder eines Netzwerkes an das Internet
Da alle Netzwerkverbindungen über eine verschlüsselte und somit geschützte VPN-Verbindung laufen können, spricht man auch gerne von einem VPN-Tunnel. Welche Technologie für eine VPN-Verbindung eingesetzt werden darf, ist dabei nicht festgelegt. Für VPN-Protokolle sind der Kreativität daher kaum technische Grenzen gesetzt: Die Datenübertragung kann auf den unterschiedlichsten Netzwerkebenen aufbauen und andere bereits existierende Protokolle nutzen, wie z.B. TLS, HTTPS, DNS, etc. Einzig das Ziel ist entscheidend, nämlich beliebige Netzwerkdaten möglichst effizient und sicher zwischen den VPN-Endpunkten hin und zurück zu übertragen.
Einsatzgebiete¶
Site-to-Site¶
Bei einer Site-to-Site-Verbindung werden 2 Netzwerke über einen VPN-Tunnel verbunden (z.B. eine Zweigniederlassung in Frankfurt mit dem Hauptfirmensitz in Berlin).
End-to-Site¶
Bei einer End-to-Site-Verbindung werden Endbenutzer über einen VPN-Tunnel an ein Netzwerk angebunden (z.B. Außendienstmitarbeiter an ein Firmennetzwerk).
Anbindung ans Internet¶
Ein VPN-Tunnel kann auch für eine TLS-verschlüsselte Verbindung zu einem öffentlichen VPN-Anbieter genutzt werden, über die der gesamte Internet-Verkehr gelenkt wird. Obwohl man dafür einen bereits funktionierenden Internet-Zugang benötigt, können damit z.B. Sicherheitsmängel im WLAN-Netzwerk umgangen werden. Sobald ein gesicherter VPN-Tunnel aufgebaut ist, laufen alle Netzwerkverbindungen nur noch innerhalb des durch TLS-Verschlüsselung geschützten Tunnels. Am anderen Tunnel-Ende leitet der VPN-Anbieter den Netzwerkverkehr dann ins Internet weiter.
Da man zudem auch noch mit der IP-Adresse des VPN-Anbieters surft, werden diese VPNs auch gerne dazu benutzt um Internet-Dienste verwenden zu können, die für das eigene Land gesperrt sind (Geoblocking). Aus diesem Grund sind in den letzten Jahren VPN-Anbieter, die ihre Server in unzähligen Ländern zur Verfügung stellen, wie Pilze aus dem Boden geschossen. Für bereits wenige Euro pro Monat erhält man frei wählbaren Zugang zu allen dieser Server, mit einer Volumenbegrenzung, die meist derer gängiger Mobilfunkverträge entspricht.
Bei der Nutzung von öffentlichen VPN-Anbietern ist allerdings Folgendes zu beachten:
Der VPN-Server muss über ein CA-Zertifikat identifiziert werden. Nur so kann sichergestellt werden, dass sich kein Angreifer als vermeintlicher VPN-Anbieter ausgibt. Das Zertifikat erhält man zusammen mit der VPN-Konfiguration vom VPN-Anbieter.
Der VPN-Anbieter sollte vertrauenswürdig sein (s. Viele VPN-Dienste sind unsicher 🇩🇪).
Da VPN-Dienste häufig für das netzwerkbelastende Streaming von Medien verwendet werden, drosseln einige VPN-Anbieter diese Art des Netzwerkverkehrs. Außerdem ist wegen der zusätzlichen Verschlüsselungsschicht generell mit geringfügigen Performanceeinbußen zu rechnen.
Einige Anbieter von Internet-Diensten blockieren bekannte IP-Adressen von VPN-Anbietern, eben weil mit der Nutzung von VPN-Tunneln Geoblocking umgangen bzw. die eigene private IP-Adresse verborgen wird.
Will man neben dem Surfen im Internet auch gleichzeitig auf Dienste im lokalen Netz zugreifen, hat man das Problem den Netzwerkverkehr entsprechend zu routen: Der Internet-Verkehr muss über den VPN-Tunnel laufen, alles andere geht direkt in das lokale Netz. Insbesondere für DNS ist diese Aufteilung meist schwierig zu realisieren.
VPN-Client-Software bietet einen zusätzlichen Angriffsvektor (s. Sicherheitslücken: Angreifer könnten OpenVPN crashen 🇩🇪).
Programme¶
VPN-Programme können je nach unterstütztem Prokoll unterteilt werden:
| Auswahl an gängigen Programmen und deren unterstützte VPN-Protokolle | |||
| Programm | VPN-Protokoll | Einsatzgebiet | Beschreibung |
| OpenVPN | SSL | End-To-Site Site-To-Site Internetanbindung | Client und Server im privaten und geschäftlichen Bereich |
| StrongSwan 🇬🇧 LibreSwan 🇬🇧 | IPsec | Site-To-Site | Server im geschäftlichen Bereich |
| SoftEther 🇬🇧 | SSL, IPsec, SSTP, Ethernet over HTTPS, VPN over ICMP, VPN over DNS, EtherIP | End-To-Site Site-To-Site | Client und Server in gemischten Umgebungen (Windows) und Netze mit sehr eingeschränktem Zugriff |
| vpnc | IPsec | End-To-Site | Client im geschäftlichen Bereich |
Es gibt noch eine Reihe anderer Protokolle, die für VPNs verwendet werden können:
PPTP - veraltet und unsicher (Der Todesstoß für PPTP 🇩🇪)
Links¶
Intern¶
OpenVPN - Server- und Client-Installation für OpenVPN