Lesezeit ca. 8 Min.
arrow_back

Mit VPN sicher und anonym


Logo von LinuxWelt
LinuxWelt - epaper ⋅ Ausgabe 5/2022 vom 29.07.2022

SPECIAL II – Sicherheit & Datenschutz / VPN Schritt für Schritt

Artikelbild für den Artikel "Mit VPN sicher und anonym" aus der Ausgabe 5/2022 von LinuxWelt. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: LinuxWelt, Ausgabe 5/2022

Fritzbox als VPN-Server: Dazu muss ?MyFritz? aktiviert und einem Nutzer der Zugang per VPN erlaubt werden.

Der Grundgedanke hinter einem „Virtual Private Network“ besteht darin, eine sichere Verbindung zwischen zwei verschiedenen Netzen herzustellen. Dabei wird die Infrastruktur einer potenziell feindlichen Umgebung verwendet. Da die Signale zwischen beiden Netzen verschlüsselt werden, läuft die Kommunikation sicher in einer Art Tunnel ab. Deswegen werden VPN-Verbindungen oft als „Tunnel“ bezeichnet. Via VPN können sich die Mitarbeitenden mit dem Unternehmensnetzwerk verbinden, genauso, als säßen sie am Schreibtisch im Büro. Das weltweite Internet schrumpft somit auf die Funktion eines ziemlich langen LAN-Kabels. Wenn Sie über diese VPN-Verbindung mit Ihrem Browser einen Server aufrufen, nutzen Sie die IP-Adresse des VPN-Netzwerks, also nicht die vom DSL- oder Kabelprovider zugewiesene Adresse. Genau damit werben kommerzielle Anbieter. ...

Weiterlesen
epaper-Einzelheft 6,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von LinuxWelt. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 5/2022 von Schatzsuche im Tool-Dschungel. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Schatzsuche im Tool-Dschungel
Titelbild der Ausgabe 5/2022 von Jäger und Sammler. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Jäger und Sammler
Titelbild der Ausgabe 5/2022 von Auf DVD: 6 Mal Linux. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Auf DVD: 6 Mal Linux
Titelbild der Ausgabe 5/2022 von Sagen Sie uns Ihre Meinung – und gewinnen Sie!. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Sagen Sie uns Ihre Meinung – und gewinnen Sie!
Mehr Lesetipps
Blättern im Magazin
So wird Ihr NAS sicherer
Vorheriger Artikel
So wird Ihr NAS sicherer
Schotten dicht: Ports und Dienste
Nächster Artikel
Schotten dicht: Ports und Dienste
Mehr Lesetipps

...

Was leistet ein VPN?

Ziemlich marktschreierisch, wie es sich für Werbung gehört, bieten im abendlichen TV-Programm eine Reihe von Unternehmen die Nutzung ihrer VPN-Verbindungen an: Nur damit könne man heute sicher und anonym im Internet surfen. Wie bei Werbung üblich, ist das nicht völlig falsch, hat aber einen Haken. Kommerzielle VPN-Anbieter können die Grundlagen des Internets nicht aushebeln. Damit Datenpakete zwischen zwei Punkten ausgetauscht werden können, benötigt ein Client eine IP-Adresse. Sie bekommen also auch bei Nutzung des Angebots eine IP-Adresse zugewiesen. Nur ist die nicht mit der tatsächlichen IP-Adresse Ihres Anschlusses identisch. Insofern surfen Sie „anonym“. Dazu gleich noch einmal mehr. Erst einmal zum Nutzen eines VPN selbst.

Sie benötigen Server und Client: Um ein VPN einzusetzen, benötigen Sie einen VPN-Server. Der kümmert sich um den Verbindungsaufbau und sichert im Hintergrund den Datenverkehr. Und Sie müssen auf dem Client, also Ihrem Computer, Tablet oder Smartphone, eine VPN-Verbindung einrichten, die dann die Daten des Servers nutzt.

Was kann das eigene VPN und was kann es nicht? Für Firmen ist die Nutzung eines VPN schon allein deshalb interessant, weil über die Verbindung zum Computer auch Informationen rauschen, die besser vertraulich bleiben. Aber auch für Privatanwender gibt es gute Gründe: Wenn Sie unterwegs ein fremdes WLAN nutzen, können Sie nicht sicher sein, dass dieses nicht kompromittiert wurde und Informationen mitgeschnitten werden, zum Beispiel Kreditkarteninformationen. Mit einem VPN bleiben diese Informationen verschlüsselt und uneinsehbar. Ein gewichtiges Argument der kommerziellen Anbieter liegt aber nicht in der Vertraulichkeit der Verbindungen, sondern in der Umgehung des Geoblockings: Einfach die Software des Anbieters nutzen, eine IP-Adresse des gewünschten Landes auswählen und schon können Sie sich auch Videos oder Sportübertragungen ansehen, die aus Deutschland nicht abrufbar sind. Oder umgekehrt, wenn Sie sich gerade im Ausland befinden.

Anonym sind Sie damit indes nicht, denn die Adressräume wurden von den Anbietern reserviert. Wenn Sie auf Anonymität angewiesen sind, müssen Sie darauf vertrauen, dass der Anbieter Ihre tatsächliche IP-Adresse und Ihre Daten für sich behält. Einen Anbieter, mit dem wir gute Erfahrungen gemacht haben, nennen wir am Ende des Artikels. Um wirklich anonym zu bleiben, müssten Sie sich aber eher mit einer Lösung wie dem TOR-Browser anfreunden. Wenn es aber in erster Linie darum geht, sichere Verbindungen in einer fremden Netzumgebung aufzubauen, ist ein VPN perfekt. Wie Sie dies erreichen, zeigen wir anhand von Beispielen mit sehr unterschiedlichem technischen Aufwand.

Der schnelle Weg zum VPN: Die Fritzbox

Ein einfacher Weg zum VPN besteht darin, die eigene Fritzbox als VPN-Server zu nutzen. Befinden Sie sich also im fremden WLAN eines Cafés oder Hotels, stellen Sie eine Verbindung mit Ihrer heimischen Fritzbox her. Rufen Sie anschließend eine Internet-URL auf, wird diese von Ihrer Fritzbox ausgeliefert. Das funktioniert problemlos, wenn Ihr Anschluss via IPv4 erreicht werden kann. Die Nutzer eines Kabelanschlusses benötigen einen regulären Dual-Stack. Zeigt die Fritzbox, dass sie DS-Lite verwendet, kommt diese VPN-Methode nicht infrage. Die Einrichtung des VPN-Zugangs verläuft bei allen anderen Anschlüssen so: Als Basis dient der von AVM angebotene Cloud-Dienst „MyFritz!“. Melden Sie sich an Ihrer Fritzbox an und gehen Sie auf „Internet –› MyFritz!-Konto“. Sofern Sie noch kein solches Konto besitzen, geben Sie eine gültige E-Mail-Adresse ein und folgen den Schritten für die Registrierung. Im Verlauf müssen Sie die E-Mail-Adresse bestätigen, werden auf die AVM-Seite weitergeleitet und legen ein (starkes!) Passwort an.

Sobald Sie ein solches Konto besitzen, zeigt Ihnen der Besuch des Menüs, dass die Fritzbox mit dem Dienst verbunden ist, ferner auch die öffentliche Internetadresse der Fritzbox. Unter dem Feld mit der URL befindet sich der Schalter für die Einrichtung eines Nutzers, der auf die Fritzbox extern zugreifen darf. Klicken Sie auf „Fritz-Box-Benutzer einrichten“. Nun vergeben Sie einen Benutzernamen und ein Passwort. Nach „Übernehmen“ muss die Eingabe mit einer Tastenkombination eines angeschlossenen Telefons bestätigt werden oder mit der Fritz-Taste auf dem Router. Um jetzt den Zugang zu testen, benötigen Sie eine externe Verbindung etwa über das Smartphone mit mobilen Daten und bei ausgeschaltetem WLAN. Sie nutzen dabei die erwähnte URL und verwenden den Benutzernamen und das Passwort des gerade angelegten Benutzers. Jetzt wechseln Sie über „System –› Fritzbox-Benutzer“ und klicken auf das Stiftsymbol neben dem Benutzer. Hier aktivieren Sie dann die Option „VPN“. Nach „Übernehmen“ ist der Zugang realisiert.

Im nachfolgenden Dialog sehen Sie eine Zusammenfassung der Zugangsdaten. Drucken Sie sich diese am besten aus. Mit diesen Informationen können Sie jetzt auf anderen Geräten eine VPN-Verbindung herstellen (siehe Kasten „VPN-Zugang nutzen“).

Wireguard: Eigener VPN-Server unter Ubuntu

Mehr Möglichkeiten haben Sie, wenn Sie einen eigenen VPN-Server einrichten. Mit Wireguard gibt es eine relativ einfach zu installierende Lösung. Um Wireguard benutzen zu können, benötigen Sie einen Rechner, auf dem Linux läuft und der über das Internet zu erreichen ist. Das darf auch eine virtuelle Maschine im Internet sein. Das ist vor allem dann eine gute Lösung, wenn Sie den VPN-Zugang nur verwenden wollen, wenn Sie unterwegs sind. Daheim starten Sie einfach die Instanz beim Hoster und nach Ihrer Rückkehr wird sie wieder beendet.

VPN-PROTOKOLLE

Für die sichere Kommunikation via VPN müssen sich Client und Server verständigen.

Grundlage ist dabei ein gemeinsames Datenprotokoll. Die drei wichtigsten sind folgende:

Open VPN ist quelloffen und recht verbreitet, beim Aufbau eines Servers allerdings nicht einfach zu durchschauen. Software wie Pi VPN räumt aber viele Hürden aus dem Weg. Auf Open VPN basieren auch häufig die Ansätze kommerzieller Anbieter.

Wireguard ist eine freie VPN-Software, die ein eigenes Protokoll nutzt und für die meisten Betriebssysteme zur Verfügung steht.

L2TP/IPSec sind streng genommen zwei Protokolle, die stets in Kombination genutzt werden. Es wird häufig im professionellen Umfeld genutzt, wenn Administratoren Homeoffice-Arbeitsplätze oder externe Standorte mit dem Unternehmensnetzwerk verbinden wollen. Die Fritzbox nutzt ein Derivat dieses Protokolls für ihr VPN.

Zur Installation von Wireguard genügt bei vielen Distributionen ein Befehl:

sudo apt install wireguard

Nutzen Sie eine LTS-Version von Ubuntu, wie das bei virtuellen Maschinen oft der Fall ist, werden Sie die Paketquellen erst ergänzen müssen. Dies folgt dem bekannten Muster:

Im nächsten Schritt sorgen Sie dafür, dass alle Pakete, die an der Wireguard-Schnittstelle ankommen, weitergeleitet werden. Dazu öffnen Sie die Datei „/etc/sysctl.conf“. Hier tragen Sie zwei Zeilen ein:

Eventuell sind die Zeilen vorhanden und es genügt, das Kommentarzeichen „#“ zu entfernen. Speichern Sie die Datei und aktualisieren Sie die Konfiguration mit diesem Befehl:

sysctl -p

Die Kommunikation bei Wireguard wird mittels öffentlicher und privater Schlüssel auf dem Server und dem Client abgesichert. Deswegen muss das Schlüsselpaar zunächst auf dem Server angelegt werden. Das geht – mit root-Recht – so:

Anschließend liegen im Verzeichnis „/etc/ wireguard“ zwei Dateien, die unschwer als privater und öffentlicher Schlüssel zu erkennen sind. Jetzt kommt die einzige Hürde. Wireguard arbeitet als Router in seinem VPN-Netz. In der Konfiguration müssen Sie daher eine virtuelle Netzwerkschnittstelle schaffen, die hier mit „wg0“ bezeichnet werden soll. Der Router muss einen Adressraum verwalten, der sich mit den IP-Adressen Ihres eigentlichen Netzwerks nicht in die Quere kommt. Mit einem Editor legen Sie die Datei „/etc/wireguard/wg0.conf“ an und tragen dort folgende Zeilen ein:

Ein Wort zu den Adressen. Der erste Wert definiert den IPv4-Bereich 192.168.207.1 bis 192.168.207.254, der im Netzwerk des Autors nicht verwendet wird. Wenn Sie IPv6-Adressen nutzen wollen, ist die Schaffung einer sogenannten „Unique Local Address“ nicht so einfach, weil es nahezu unendliche Möglichkeiten gibt. Unter https://simpledns.plus/private-ipv6 können Sie sich einen zufällig generierten Adressraum erstellen lassen. Das erleichtert die Sache. Speichern Sie die Datei.

Jetzt geht es an das Forwarding der Pakete.

Dazu finden Sie zunächst die Netzwerkschnittstelle des Servers heraus, die öffentlich erreichbar ist. Führen Sie in einem Terminal das Kommando

ip route list default

aus. Bei den ausgegebenen Strings suchen Sie nach dem Eintrag mit dem Zusatz „dev“. Dahinter steht dann der Name der Schnittstelle, etwa „eth0“. Jetzt öffnen Sie erneut die Datei „/etc/wireguard/wg0. conf“ und fügen am Ende der Datei diesen Codeblock ein.

Nach dem Speichern der Datei müssen Sie noch der Firewall gestatten, Datenverkehr zum Port von Wireguard durchzulassen:

Mit root-Recht stoppen Sie einmal die Firewall (sudo ufw disable) und starten Sie erneut (sudo ufw enable), damit die Änderungen aktiv werden. Wenn Wireguard beim Start des Systems aktiviert werden soll, konfigurieren Sie noch den Dienst:

Dies gilt für alle Ubuntu & Co. mit Systemd.

Wireguard: Clientgeräte einrichten

Für mobile Clients mit Android und iOS gibt es in den App Stores die passende Software zur Einrichtung. Soll ein Linux-Client eingerichtet werden, installieren Sie darauf Wireguard. Anschließend müssen Sie dort – wie gezeigt – ein Schlüsselpaar erzeugen. Mit einem Editor wie Nano

legen Sie auf dem Client eine eigene Konfigurationsdatei an. Bei der Wahl des Namens sind Sie völlig frei, die Ähnlichkeit mit der Serverdatei ist hier beabsichtigt, um die Unterschiede deutlich zu machen. Die Datei erhält zunächst einmal folgenden Inhalt:

Das ist die grundlegende Konfiguration. Wenn Sie vorhaben, jeglichen IP-Verkehr durch den Tunnel zu schicken, müssen noch ein paar Ergänzungen vorgenommen werden. Diese lesen Sie am besten in der offiziellen Dokumentation des Projekts nach. Sie müssen dem Server anschließend noch mitteilen, dass sich der Client verbinden darf. Das geht mit einem einfachen Kommando im Terminal:

Läuft der Server, starten Sie eine Verb dung auf dem Client im Terminal: sudo wg-quick up wg0 Damit sollte die Verbindung stehen.

VPN mit Raspberry Pi und Open VPN

Eine Alternative zu Wireguard ist Open VPN. Damit und mit einem Raspberry Pi können Sie einen VPN-Server verblüffend einfach umsetzen. Möglich macht dies das Projekt Pi VPN (https://www.pivpn.io/). Ursprünglich ausschließlich für Open-VPN-Verbindung gestartet, kann es heute auch das Wireguard-Protokoll verwenden. Die Installation und Einrichtung sind inzwischen auch nicht mehr ausschließlich auf den Raspberry beschränkt. Mit dem Kommando

starten Sie die Einrichtung und Konfiguration, die problemlos bei IPv4-Adressen funktioniert. Hier gelten also die gleichen Einschränkungen am Kabelanschluss, wie sie bereits erwähnt wurden.

Das Programm begleitet Sie durch alle Schritte inklusive der optionalen Auswahl eines alternativen DNS-Servers. Auch auf die Portweiterleitung am Router werden Sie hingewiesen. Hier kann tatsächlich nichts schiefgehen. Einmal abgeschlossen, legen Sie mittels pivpn add einen Client an, der dann auch die Zugangsdatei erzeugt.

Kommerzieller Anbieter: Proton VPN

Kommerzielle Angebote reduzieren den technischen Aufwand auf ein Minimum. Ob der VPN-Anbieter allerdings Ihre Daten speichert oder ob Sie tatsächlich anonym surfen, ist eine Frage des Vertrauens. Einen untadeligen Ruf genießt das Schweizer Unternehmen Proton, das auch einen kostenfreien VPN-Zugang anbietet. Dieser finanziert sich aus den Gebühren der Nutzer, die sich für das kostenpflichtige Abo entschieden haben, das mehr Geschwindigkeit und mehr Konfigurationsoptionen bietet (für fünf bis zehn Euro pro Monat). Die Einrichtung unter Ubuntu ist extrem einfach. Sie holen sich von der Website https://proton vpn.com das Installationspaket und installieren es per Doppelklick.

Damit werden zunächst nur die Paketquellen hinzugefügt. Nach dem Update der Quellen installieren Sie

die Software.

Das war dann auch schon alles: Programm starten, die Zugangsdaten zum Proton-Account eintragen – das genügt und Sie können die gewünschte geografische Verbindung auswählen und nutzen.

VPN-ZUGANG NUTZEN

Wie nutzen Sie eine VPN-Verbindung auf den Clients? Kommerzielle Anbieter stellen entweder eine eigene Software für die Einwahl zur Verfügung oder zumindest die passende Konfigurationsdatei. Unter Ubuntu können Sie unter den Einstellungen im Bereich „Netzwerk“ und „VPN“ eine neue Verbindung mit einem Klick auf das Pluszeichen hinzufügen. Sie haben anschließend die Auswahl, die Details aus einer Datei zu importieren. Solche Dateien erzeugt auf Wunsch auch Open VPN. Bei Wireguard nutzen Sie entweder die passende App für mobile Geräte oder müssen, wie im Haupttext beschrieben, die Software installieren und die Konfiguration anpassen.