Die Artikel im Archiv-Namespace sind veraltet und werden nur noch aus historischen Gründen aufbewahrt.

Archiv:VPN

Aus wiki.freifunk.net
Zur Navigation springenZur Suche springen

Ein Virtual Private Network (VPN) (deutsch: Virtuelles Privates Netzwerk) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netz nutzt, zum Beispiel das Internet. Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung über das öffentliche Netz wird üblicherweise verschlüsselt. Der Begriff »Private« impliziert jedoch nicht, wie vielfach angenommen, dass es sich um eine verschlüsselte Übertragung handelt. Eine Verbindung der Netze wird über einen Tunnel zwischen VPN-Client und VPN-Server (Concentrator) ermöglicht. Meist wird der Tunnel dabei gesichert, aber auch ein ungesicherter Klartexttunnel ist ein VPN. Mit Hilfe eines VPN besteht die Möglichkeit, getrennte weit auseinander gelegene Funknetze, zum Beispeil verschiedene Freifunk-Netze, über eine Datenleitung miteinander zu verbinden.


OpenVPN und Freifunk


IP-VPNs nutzen das Internet zum Transport von IP-Paketen unabhängig vom Übertragungsnetz, was im Gegensatz zum direkten Remote-Zugriff auf ein internes Netz (direkte Einwahl beispielsweise über ISDN, GSM, …) wesentlich flexibler und kostengünstiger ist.

Anwendungen

VPNs werden oft verwendet, um Mitarbeitern außerhalb einer Organisation oder eines Unternehmens Zugriff auf das interne Netz zu geben. Dabei baut der Computer des Mitarbeiters eine VPN-Verbindung zu dem ihm bekannten VPN-Gateway des Unternehmens auf. Über diese Verbindung ist es dem Mitarbeiter nun möglich, so zu arbeiten, als ob er im lokalen Netz der Firma wäre (Remote-Access-VPN). Dieses Verfahren wird auch verwendet, um WLANs und andere Funkstrecken zu sichern (End-to-Site-VPN).

Sollen zwei lokale Netze verbunden werden, wird auf beiden Seiten ein VPN-Gateway verwendet. Diese bauen dann untereinander eine VPN-Verbindung auf. Andere Rechner in einem lokalen Netz verwenden nun den Gateway auf ihrer Seite, um Daten in das andere Netz zu senden. So lassen sich zum Beispiel zwei weit entfernte Standorte einer Firma verbinden (Site-to-Site-VPN).

Es ist auch möglich, dass ein Tunnel zwischen zwei einzelnen Computern aufgebaut wird. Dies wird praktisch aber kaum genutzt. Nur Organisationen mit einem extrem hohen Sicherheitsbedarf verschlüsseln so die gesamte Kommunikation in ihren Netzen. FreeS/WAN, sowie dessen Nachfolger Openswan und strongSwan, bietet noch die Möglichkeit der so genannten »opportunistic encryption«: Es wird zu jedem Rechner, mit dem der eigene Computer Daten austauscht, ein Tunnel aufgebaut, wenn dieser einen Schlüssel per DNS bereitstellt.

Sicherheit

Durch Verwendung geheimer Passwörter, öffentlicher Schlüssel oder durch ein Digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte gewährleistet werden.

Es ist sinnvoll, auf den VPN-Gateways den Datenverkehr zu filtern. Sonst ist es zum Beispiel Computerwürmern möglich, sich im gesamten Netz zu verbreiten.

Gute VPN-Software verwendet Authentizität und Prüfsummen, um sich vor Manipulation der Daten zu schützen. Ebenso werden Sequenznummern benutzt, um Replay-Attacken zu verhindern.

Implementierungen

Gängige Techniken zum Aufbau von VPNs sind L2TP, PPTP, IPsec, SSL, OpenVPN, TINC, CIPE und PPP über SSH.

VPNs setzen auf folgenden zugrundeliegenden Protokollen auf:

  • IPsec eignet sich sowohl für Site-to-Site VPNs als auch für End-to-Site VPNs.
  • TLS/SSL werden hauptsächlich für End-to-Site VPNs eingesetzt.
  • PPTP und L2TP ohne IPsec sollten nicht verwendet werden, da sie als unsicher gelten.

Viele moderne Betriebssysteme enthalten Komponenten, mit deren Hilfe ein VPN aufgebaut werden kann. Linux enthält seit Kernel 2.6 eine IPSec-Implementierung, ältere Kernel benötigen das KLIPS-IPSec-Kernelmodul, das von Openswan und strongSwan zur Verfügung gestellt wird. Auch BSD, Cisco IOS und Windows sind IPSec-fähig.

Literatur

  • Manfred Lipp: VPN – Virtuelle Private Netzwerke, Addison-Wesley, ISBN 3-8273-2252-9
  • Joseph Davies, Elliot Lewis: Virtuelle Private Netzwerke mit Windows Server 2003 – Sichere Netzwerkanbindung mit VPNs, Microsoft, ISBN 3-86063-962-5
  • Gerhard Lienemann: Virtuelle Private Netzwerke - Aufbau und Nutzen, Vde Verlag, ISBN 3-8007-2638-6

Relakks

Relakks ist ein Flatrate-VPN-Zugang über Schweden, den man vorab bezahlt (prepaid). Ein Monat kostet 5 Euro, ein Jahr kostet 50 Euro. Verbindet man sich per VPN mit dem Relakks-Server, bekommt man eine schwedische IP-Adresse zugewiesen [a], und geht darüber ins Internet [b]. Im Gegensatz zu Proxies (Lösung 3) unterstützt diese Lösung alle Anwendungen und Protokolle.

Wenn man einen Relakks-Zugang sein eigen nennt, kann man auf seinem Router einfach einen PTPP-Client installieren und entsprechend konfigurieren und dann surfen alle Nutzer über eine anonyme schwedische IP. Auf Probleme weist ein kritischer Artikel bei heise.de hin.

Unternehmen, die in Schweden Prepaid-Telekommunikationsdienste anbieten, müssen keine Kundendatenbank unterhalten, was Relakks – nach eigenem Bekunden – auch nicht macht. Somit kann relakks keine Kundendaten herausgeben, weil sie keine haben. Bei Bezahlung bekommt man eine Zahlungs-ID, mit welcher man hinterher seinen Account für eine Bestimmte Dauer (Monate/Jahre) freischalten kann. Die Zahlungsdaten werden danach gelöscht, da sie nicht mehr nötig sind, eine direkte Zuweisung von Zahlung zu Benutzer ist somit nicht ohne weiteres möglich. Relakks gibt – nach eigenem Bekunden – keine Bestandsdaten an Dritte weiter. Die schwedische Justiz kann nur dann Daten anfordern, wenn sie glaubhaft nachweisen kann, daß mit der IP-Adresse eine Straftat begangen worden ist, die mit mindestens zwei Jahren Freiheitsentzug bestraft werden kann. Mehr zu den rechtlichen Aspekten unter https://www.relakks.com/faq/legal/.

[a]: Funktioniert praktisch als ob man einen prepaid, flatrate DSL Anschluß in Schweden haben würde. Allerdings muss man bei relakks nicht in Schweden sein, sondern kann sich von überall auf der Welt per Internet mit seinem schwedischen Breitbandanschluß (und damit auch IP) verbinden.
[b]: Nachdem die Verbindung steht, geht der gesamte Datenverkehr ins Internet durch den VPN Tunnel nach Schweden und wird von dort ins Internet geleitet. Damit kommt dann der eigene Datenverkehr von einer schwedischen IP, ebenso als ob man ein DSL Anschluss in Schweden hätte.

Siehe auch:

Trackbuster VPN

Ein VPN ist …

Ein VPN ist ein virtuelles privates Netzwerk, zumindest ist das die Auflösung der Abkürzung.

Ein Weg, Datenpakete in Datenpakete zu verpacken, um sie irgendwo hinzuschicken, um sie dort wieder auszupacken.

Damit kann man Firmennetze, Meshwolken und auch vieles andere verbinden, oder auch alle Pakete, die Richtung Internet wollen, einpacken und woanders hinschicken, um »von dort aus« ins Internet zu kommen.

VPN zwischen Meshwolken

Hier solle massiv text stehen, der die verschiedenen Ansätze im Freifunk dokumentiert und verlinkt. Bitte weiter ausbauen.

Tinc wird von vielen Communities benutzt, um Funkwolken innerhalb von Städten zu verbinden. Das IC-VPN, das mehrere Städte verbindet, verwendet ebenfalls tinc.

N2n wurde getestet, hat sich aber nicht durchgesetzt.

L2gvpn ist ein Fork von [[N2n].

fastd: Braucht kein OpenSSL / geringer Speicherverbrauch. Praktisch wenn batman-adv drüber gesprochen werden soll durch das peer-group-feature.

Tunneldigger: very fast in-kernel L2 tunneling broker.

Und dann haben wir noch das BBB-VPN (OpenVPN), siehe [1]. Dient zur Anbindung abgesetzter Standorte. Keys+Config kannst du selber über Web-UI generieren, allerdings kein Internet-Abwurf über dieses VPN-Gateway.

VPN um darüber ins Internet zu gehen

Ein VPN zu nutzen, um seinen Internet Traffic an einem anderen Ort ins Netz zu schicken hat viele interessante Anwendungen:

  • Ich möchte die in meinem Land oder Netzwerk vorhandene Zensur umgehen.
  • ich möchte als Internetteilnehmer eines anderen Landes erscheinen, um Zugang zu Inhalten zu bekommen, die auf Grund von regionalen Urheberrechten bei mir nicht verfügbar sind.
  • Ich möchte nicht mit der Absenderadresse (meines) DSL anschlusses erkennbar sein, weil ich Angst for rechtlichen Problemen habe oder weil der Anschlussinhaber das nicht möchte.
  • Ich will, dass niemand meine über unsichere Netze (WLAN-Hotspots, Freifunk, …) übertragenen Daten (Email, Chat, Passwörter, …) mitlesen oder gar verändern kann. Hinweis: Der Betreiber des VPN-Endpunktes kann wiederum die Daten sehen/manipulieren. Die Wahl eines VPN-Anbieters ist daher eine Sache des Vertrauens.

kostenpflichtige anbieter

Anbieter URL Preis Protokoll Plug&Play Firmwaresupport Bemerkung Land
Ipredator https://www.ipredator.se/ 15 €/3 Monate pptp ? Reseller von relakks Schweden
Relakks https://www.relakks.com/ 149 kr/3 Monate, 449kr/12 Monate pptp ? Schweden
WiTopia http://www.witopia.net/index.php/products/ 40 – 70 $/Jahr pptp/OpenVPN ? USA
vpnhosting.cz [2] 3 – 11 €/Monat OpenVPN/n2n ? Tschechien
SwissVPN [3] 6 CHF/Monat (ca. 4,50 €) pptp/OpenVPN Unterliegt Schweizer Fernmeldegesetze. IPs (Quell-IP, nicht besuchte Webseiten etc.) werden für 6 Monate gespeichert. Schweiz
Trackbuster Ltd & Co KG [4] 5 €/Monat OpenVPN Erfahrungen mit trackbuster
Eigener Server [5] ab ca. 1 €/Monat, beliebig viele Nutzer beliebig Billigen virtuellen Server mieten (lowendbox.com bietet eine gute Übersicht), VPN selbst einrichten. Linux-Kenntnisse natürlich Voraussetzung. Mit Freunden teilen. Rechtlich andere Situation beachten (feste IP des eigenen Servers). USA, UK, FR, DE, ...

Kostenlose Anbieter

Berliner VPN-Server

Ist derzeit im Aufbau. Doku auf einer Extra-Seite, siehe Vpn03

Siehe auch

Weblinks