Archiv:VPN
Ein Virtual Private Network (VPN) (deutsch: Virtuelles Privates Netzwerk) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netz nutzt, zum Beispiel das Internet. Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung über das öffentliche Netz wird üblicherweise verschlüsselt. Der Begriff »Private« impliziert jedoch nicht, wie vielfach angenommen, dass es sich um eine verschlüsselte Übertragung handelt. Eine Verbindung der Netze wird über einen Tunnel zwischen VPN-Client und VPN-Server (Concentrator) ermöglicht. Meist wird der Tunnel dabei gesichert, aber auch ein ungesicherter Klartexttunnel ist ein VPN. Mit Hilfe eines VPN besteht die Möglichkeit, getrennte weit auseinander gelegene Funknetze, zum Beispeil verschiedene Freifunk-Netze, über eine Datenleitung miteinander zu verbinden.
OpenVPN und Freifunk
- OpenVPN
- deutsches miniHOWTO zu OpenVPN Howto auf Grundlage von http://openvpn.sourceforge.net/ – Variante mit pre-shared-Keys
IP-VPNs nutzen das Internet zum Transport von IP-Paketen unabhängig vom Übertragungsnetz, was im Gegensatz zum direkten Remote-Zugriff auf ein internes Netz (direkte Einwahl beispielsweise über ISDN, GSM, …) wesentlich flexibler und kostengünstiger ist.
Anwendungen
VPNs werden oft verwendet, um Mitarbeitern außerhalb einer Organisation oder eines Unternehmens Zugriff auf das interne Netz zu geben. Dabei baut der Computer des Mitarbeiters eine VPN-Verbindung zu dem ihm bekannten VPN-Gateway des Unternehmens auf. Über diese Verbindung ist es dem Mitarbeiter nun möglich, so zu arbeiten, als ob er im lokalen Netz der Firma wäre (Remote-Access-VPN). Dieses Verfahren wird auch verwendet, um WLANs und andere Funkstrecken zu sichern (End-to-Site-VPN).
Sollen zwei lokale Netze verbunden werden, wird auf beiden Seiten ein VPN-Gateway verwendet. Diese bauen dann untereinander eine VPN-Verbindung auf. Andere Rechner in einem lokalen Netz verwenden nun den Gateway auf ihrer Seite, um Daten in das andere Netz zu senden. So lassen sich zum Beispiel zwei weit entfernte Standorte einer Firma verbinden (Site-to-Site-VPN).
Es ist auch möglich, dass ein Tunnel zwischen zwei einzelnen Computern aufgebaut wird. Dies wird praktisch aber kaum genutzt. Nur Organisationen mit einem extrem hohen Sicherheitsbedarf verschlüsseln so die gesamte Kommunikation in ihren Netzen. FreeS/WAN, sowie dessen Nachfolger Openswan und strongSwan, bietet noch die Möglichkeit der so genannten »opportunistic encryption«: Es wird zu jedem Rechner, mit dem der eigene Computer Daten austauscht, ein Tunnel aufgebaut, wenn dieser einen Schlüssel per DNS bereitstellt.
Sicherheit
Durch Verwendung geheimer Passwörter, öffentlicher Schlüssel oder durch ein Digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte gewährleistet werden.
Es ist sinnvoll, auf den VPN-Gateways den Datenverkehr zu filtern. Sonst ist es zum Beispiel Computerwürmern möglich, sich im gesamten Netz zu verbreiten.
Gute VPN-Software verwendet Authentizität und Prüfsummen, um sich vor Manipulation der Daten zu schützen. Ebenso werden Sequenznummern benutzt, um Replay-Attacken zu verhindern.
Implementierungen
Gängige Techniken zum Aufbau von VPNs sind L2TP, PPTP, IPsec, SSL, OpenVPN, TINC, CIPE und PPP über SSH.
VPNs setzen auf folgenden zugrundeliegenden Protokollen auf:
- IPsec eignet sich sowohl für Site-to-Site VPNs als auch für End-to-Site VPNs.
- TLS/SSL werden hauptsächlich für End-to-Site VPNs eingesetzt.
- PPTP und L2TP ohne IPsec sollten nicht verwendet werden, da sie als unsicher gelten.
Viele moderne Betriebssysteme enthalten Komponenten, mit deren Hilfe ein VPN aufgebaut werden kann. Linux enthält seit Kernel 2.6 eine IPSec-Implementierung, ältere Kernel benötigen das KLIPS-IPSec-Kernelmodul, das von Openswan und strongSwan zur Verfügung gestellt wird. Auch BSD, Cisco IOS und Windows sind IPSec-fähig.
Literatur
- Manfred Lipp: VPN – Virtuelle Private Netzwerke, Addison-Wesley, ISBN 3-8273-2252-9
- Joseph Davies, Elliot Lewis: Virtuelle Private Netzwerke mit Windows Server 2003 – Sichere Netzwerkanbindung mit VPNs, Microsoft, ISBN 3-86063-962-5
- Gerhard Lienemann: Virtuelle Private Netzwerke - Aufbau und Nutzen, Vde Verlag, ISBN 3-8007-2638-6
Relakks
Relakks ist ein Flatrate-VPN-Zugang über Schweden, den man vorab bezahlt (prepaid). Ein Monat kostet 5 Euro, ein Jahr kostet 50 Euro. Verbindet man sich per VPN mit dem Relakks-Server, bekommt man eine schwedische IP-Adresse zugewiesen [a], und geht darüber ins Internet [b]. Im Gegensatz zu Proxies (Lösung 3) unterstützt diese Lösung alle Anwendungen und Protokolle.
Wenn man einen Relakks-Zugang sein eigen nennt, kann man auf seinem Router einfach einen PTPP-Client installieren und entsprechend konfigurieren und dann surfen alle Nutzer über eine anonyme schwedische IP. Auf Probleme weist ein kritischer Artikel bei heise.de hin.
Unternehmen, die in Schweden Prepaid-Telekommunikationsdienste anbieten, müssen keine Kundendatenbank unterhalten, was Relakks – nach eigenem Bekunden – auch nicht macht. Somit kann relakks keine Kundendaten herausgeben, weil sie keine haben. Bei Bezahlung bekommt man eine Zahlungs-ID, mit welcher man hinterher seinen Account für eine Bestimmte Dauer (Monate/Jahre) freischalten kann. Die Zahlungsdaten werden danach gelöscht, da sie nicht mehr nötig sind, eine direkte Zuweisung von Zahlung zu Benutzer ist somit nicht ohne weiteres möglich. Relakks gibt – nach eigenem Bekunden – keine Bestandsdaten an Dritte weiter. Die schwedische Justiz kann nur dann Daten anfordern, wenn sie glaubhaft nachweisen kann, daß mit der IP-Adresse eine Straftat begangen worden ist, die mit mindestens zwei Jahren Freiheitsentzug bestraft werden kann. Mehr zu den rechtlichen Aspekten unter https://www.relakks.com/faq/legal/.
- [a]: Funktioniert praktisch als ob man einen prepaid, flatrate DSL Anschluß in Schweden haben würde. Allerdings muss man bei relakks nicht in Schweden sein, sondern kann sich von überall auf der Welt per Internet mit seinem schwedischen Breitbandanschluß (und damit auch IP) verbinden.
- [b]: Nachdem die Verbindung steht, geht der gesamte Datenverkehr ins Internet durch den VPN Tunnel nach Schweden und wird von dort ins Internet geleitet. Damit kommt dann der eigene Datenverkehr von einer schwedischen IP, ebenso als ob man ein DSL Anschluss in Schweden hätte.
Siehe auch:
Ein VPN ist …
Ein VPN ist ein virtuelles privates Netzwerk, zumindest ist das die Auflösung der Abkürzung.
Ein Weg, Datenpakete in Datenpakete zu verpacken, um sie irgendwo hinzuschicken, um sie dort wieder auszupacken.
Damit kann man Firmennetze, Meshwolken und auch vieles andere verbinden, oder auch alle Pakete, die Richtung Internet wollen, einpacken und woanders hinschicken, um »von dort aus« ins Internet zu kommen.
VPN zwischen Meshwolken
Hier solle massiv text stehen, der die verschiedenen Ansätze im Freifunk dokumentiert und verlinkt. Bitte weiter ausbauen.
Tinc wird von vielen Communities benutzt, um Funkwolken innerhalb von Städten zu verbinden. Das IC-VPN, das mehrere Städte verbindet, verwendet ebenfalls tinc.
N2n wurde getestet, hat sich aber nicht durchgesetzt.
L2gvpn ist ein Fork von [[N2n].
fastd: Braucht kein OpenSSL / geringer Speicherverbrauch. Praktisch wenn batman-adv drüber gesprochen werden soll durch das peer-group-feature.
Tunneldigger: very fast in-kernel L2 tunneling broker.
Und dann haben wir noch das BBB-VPN (OpenVPN), siehe [1]. Dient zur Anbindung abgesetzter Standorte. Keys+Config kannst du selber über Web-UI generieren, allerdings kein Internet-Abwurf über dieses VPN-Gateway.
VPN um darüber ins Internet zu gehen
Ein VPN zu nutzen, um seinen Internet Traffic an einem anderen Ort ins Netz zu schicken hat viele interessante Anwendungen:
- Ich möchte die in meinem Land oder Netzwerk vorhandene Zensur umgehen.
- ich möchte als Internetteilnehmer eines anderen Landes erscheinen, um Zugang zu Inhalten zu bekommen, die auf Grund von regionalen Urheberrechten bei mir nicht verfügbar sind.
- Ich möchte nicht mit der Absenderadresse (meines) DSL anschlusses erkennbar sein, weil ich Angst for rechtlichen Problemen habe oder weil der Anschlussinhaber das nicht möchte.
- Ich will, dass niemand meine über unsichere Netze (WLAN-Hotspots, Freifunk, …) übertragenen Daten (Email, Chat, Passwörter, …) mitlesen oder gar verändern kann. Hinweis: Der Betreiber des VPN-Endpunktes kann wiederum die Daten sehen/manipulieren. Die Wahl eines VPN-Anbieters ist daher eine Sache des Vertrauens.
kostenpflichtige anbieter
Anbieter | URL | Preis | Protokoll | Plug&Play Firmwaresupport | Bemerkung | Land |
Ipredator | https://www.ipredator.se/ | 15 €/3 Monate | pptp | ? | Reseller von relakks | Schweden |
Relakks | https://www.relakks.com/ | 149 kr/3 Monate, 449kr/12 Monate | pptp | ? | Schweden | |
WiTopia | http://www.witopia.net/index.php/products/ | 40 – 70 $/Jahr | pptp/OpenVPN | ? | USA | |
vpnhosting.cz | [2] | 3 – 11 €/Monat | OpenVPN/n2n | ? | Tschechien | |
SwissVPN | [3] | 6 CHF/Monat (ca. 4,50 €) | pptp/OpenVPN | Unterliegt Schweizer Fernmeldegesetze. IPs (Quell-IP, nicht besuchte Webseiten etc.) werden für 6 Monate gespeichert. | Schweiz | |
Trackbuster Ltd & Co KG | [4] | 5 €/Monat | OpenVPN | Erfahrungen mit trackbuster | ||
Eigener Server | [5] | ab ca. 1 €/Monat, beliebig viele Nutzer | beliebig | Billigen virtuellen Server mieten (lowendbox.com bietet eine gute Übersicht), VPN selbst einrichten. Linux-Kenntnisse natürlich Voraussetzung. Mit Freunden teilen. Rechtlich andere Situation beachten (feste IP des eigenen Servers). | USA, UK, FR, DE, ... |
Kostenlose Anbieter
- Liste von 15 anbietern, teilweise nicht mehr aktuell: http://www.avinashtech.com/internet/15-best-free-vpn-for-secure-anonymous-surfing/
- http://s6n.org/ (non-profit)
- https://ultravpn.fr/account.htm
- http://beta.pirateisp.net/vpnbeta/ – Derzeit in Betaphase und kostenlos
Berliner VPN-Server
Ist derzeit im Aufbau. Doku auf einer Extra-Seite, siehe Vpn03
Siehe auch
- OpenVPN
- OpenVPN Howto
- TincVPNBerlin
- OpenSSL
- WLAN und WPAN
- Meshing
- Tunnel – Eine Verbindung der Netze über einen Tunnel zwischen VPN-Client und VPN-Server
- IP-Netze – ein Überblick über die verwendeten Netzbereiche der Communities
- IC-VPN – Zwischenstädtische Vernetzung
Weblinks
- Freifunken mit TINC http://wiki.albi.info/pmwiki.php/Main/TipLinuxTinc
- http://www.wintotal.de/Artikel/vpnxp/vpnxp.php WinTotal – Einrichtung eines VPN Netzes mit Windows XP
- http://www.freeswan.org FreeS/WAN Projekt
- http://www.openswan.org Openswan Projekt
- http://www.strongswan.org strongSwan Projekt
- http://openvpn.net OpenVPN
- http://www.tinc-vpn.org Tinc
- http://www.easy-network.de/vpn.html Konfiguration und Einrichtung eines VPNs
- http://www.hamachi.cc/ Hamachi Projekt – Software zur Emulation eines LANs über VPN
- http://wiki.diac24.net/index.php/Hauptseite bgp/gre
- http://www.linux-magazin.de/Artikel/ausgabe/2003/10/tinc/tinc.html