Was ist VPN?
VPN steht für “Virtual Private Network” und beschreibt eine Technik, die es dir erlaubt, von überall sicher auf dein privates Netzwerk und darin befindliche Geräte zuzugreifen. VPN verschlüsselt die Verbindung von deinem Endegerät hin zu einem VPN-Server. Dabei kann das Endgerät ein Computer oder Smartphone sein, der VPN-Server als Dienst auf einem Router wie der FRITZ!Box oder einem NAS wie der Synology DiskStation laufen.
Dabei findet die Verschlüsselung in Echtzeit statt und verhindert das Abhören der übertragenen Informationen. Der gesamte Datenverkehr wird, sofern konfiguriert, über die VPN Verbindung geleitet. Man kann sich das so vorstellen, dass dein Endgerät mit einem Netzwerkkabel über das Internet mit dem VPN-Server verbunden ist, eben nur virtuell.
Das Video wird von Youtube eingebettet. Es gelten die Datenschutzerklärungen von Google. Mit dem abspielen des Videos nimmst Du dies zur Kenntnis.
VPN Allgemein
Der Name Virtual Private Network beschreibt die Funktionsweise schon recht genau. Es wird ein virtuelles Netzwerk zwischen zwei oder mehr Computern aufgebaut, in dem hier beschriebenen Szenario meist zwischen Endgerät und Server. Durch dieses Netzwerk wird die Kommunikation geleitet, Dritte können dabei keine Daten abfangen.
Der Screenshot zeigt vereinfacht den Ablauf der Kommunikation. Der Benutzer öffnet auf seinem Endgerät einen VPN-Tunnel zu dem Anbieter. Dieser Tunnel ist eine persistente, also ständig geöffnete, Verbindung und verschlüsselt. Die Stärke der Verschlüsselung hängt von der Konfiguration der jeweiligen Beteiligten ab.
Der Servers des VPN-Anbieters leitet die Kommunikation des Benutzers weiter ins Internet, dort fällt die Verschlüsselung dann jedoch weg; außer es wird eine Applikationsverschlüsselung wie HTTPS genutzt.
Die Rechner im Internet, also die Server anderer Anbieter, mit denen kommuniziert werden soll, sehen als Client nur den Rechner des VPN-Anbieters. Alles, was an Antwort zurück kommt, bekommt der Anbieter und leitet es durch den Tunnel zurück an den Benutzer und der Kreislauf beginnt von vorne.
Der VPN-Tunnel
Wie bereits erwähnt, ist der Tunnel, der den Anbieter mit dem Benutzer verbindet, verschlüsselt. Es gibt wie immer mehrere Möglichkeiten, abhängig vom Anbieter und dem Gerät, auf dem der VPN genutzt werden soll. Einer der gängigsten Standards ist IPSec, viele Linux-Nutzer greifen zu dem Programm OpenVPN.
Vor allem unterwegs bietet die Verschlüsselung einen großen Vorteil: In öffentlichen Netzwerken, zum Beispiel HotSpots, ist es mit geringem Aufwand möglich, Daten abzufangen und zu interpretieren und so zum Beispiel an Passwörter oder private Informationen gelangen (Stichwort: Man-in-the-middle-Attacke). Dank der Verschlüsselung würden beim Abfangen (Sniffen) nur nutzlose Daten erhalten werden.
Einsatzgebiete
Die Einsatzgebiete von Virtual Private Networks sind vielfältig. Sie werden nicht nur, wie oben angedeutet, von Privatanwendern benutzt sondern kommen primär bei Unternehmen zum Einsatz. Dort werden sie genutzt, um die sichere Kommunikation zwischen Rechenzentren oder Third-Application-Servern zu gewährleisten, aber auch, um Home Office zu ermöglichen. Mit Hilfe einer entsprechend konfigurierten Software kann sich ein Arbeitnehmer von zu Hause aus in das Firmennetzwerk einwählen und dort arbeiten, als wäre er im Unternehmen. Dank der Verschlüsselung stellt dies kein Risiko für den Arbeitgeber dar.
Regionale Besonderheiten werden umgangen. So kann mit einer VPN Verbindung von überall auf der Welt das Angebot von Netflix, Sky oder Amazon Prime Video konsumiert werden, was mit einer lokalen IP des entsprechenden Landes aktuell nicht möglich ist.
Weiter werden Filter oder Blockaden des Landes aufgehoben. In China sind einige soziale Netzwerke und vor allem Google gesperrt. Mit einer VPN-Verbindung lässt sich all dies nutzen und zudem kann der Datenverkehr von der Regierung oder anderen Organisationen nicht abgehört werden.
Was ist denn VPN? Internet? Ich dachte, für Fernsehen muss man sich eine Sat-Anlage installieren lassen. Vielleicht wird es Zeit, sich mit dem Thema näher zu beschäftigen.
Hallo Dominik,
ich möchte Dir zuerst einmal sagen, dass mir Deine Tutorials für die Diskstation schon sehr sehr oft geholfen haben. Klasse!
Aktuell befasse ich mich mit VPN und habe mit Deiner Hilfe auch problemlos den Server eingerichtet und kann von iPhone auf die DS zugreifen.
Allerdings habe ich ein echtes Verständnisproblem:
Ich muss weiterhin die Ports in der Fritzbox offen lassen, wenn ich auf die DS von außerhalb zugreifen möchte (z.B. über WebDAV oder auch die DSM-Oberfläche). Wenn ich die in derFritzbox lösche, komme ich nicht mehr an die DS ran bzw. kann dann nicht mehr auf die WebDAV zugreifen.
Wo ist den der Sicherheitsgewinn, wenn ich die Port weiterhin offen lassen mus? Dann benötige ich doch den VPN-Tunnel nicht, wenn jemand anders dann über die offenen Ports auch auf die DS kommt, oder?
Leider konnte ich nirgendswo einen Hinweis lesen, wie ich mit den Ports umgehen soll, nachdem ich den VPN-Tunnel etabliert habe.
Kannst Du helfen?
Danke und weiter so!
Jan-Dirk
Hallo,
wie funktioniert das unter ivp6. Muss ich da was beachten? Ich habe nur eine Quickconnect-adresse und nicht wie von Dir vorgeschlagen eine eigene domain ala “idomix@discstation.com”
Geht nicht mit IPv6.
Outch, das heißt ich kann gar kein VPN mit ivp6 machen, oder gibts ein workaround? Hab ne FritzBox 6490 mit Unitymedia … für meine Firma wurde ein Secure Gateway eingerichtet … dat tut trotz ivp6.
Es geht, wenn IPv4 zusätzlich vorhanden ist, sonst nicht.
Wie kriege ich das raus? Ich hab in den F!Box Einstellungen sowas wie „ipv4-lite“ gesehen … hilft das? G
Wie kriege ich das raus, ob ipv4 zusätzlich da ist? Habe in der F!Box Einstellungen gesehen … „ipv4 lite“ … Gerd
Hi Gerd.
Ich habe Unitymedia mit DS-Lite – also nur eine IPv6.
Lange gesucht und nun eine Lösung gefunden.
Die Firma COSIMO GmbH betreibt einen Service Feste-IP.
Voraussetzung – man holt sich einen Raspberry Pi – ich hatte bereits einen.
Mann kann den auch von ihnen beziehen – komplett eingerichtet, aber den bekommt man sonst für die Hälfte.
Sehr gute Anleitung, ein Script runtergeladen und in (nicht übertrieben!) 10 Min konnte ich auf meine Geräte (Raspberry, Desktop, Synology NAS, FritzBox) aus IPv4 und IPv6 Netzen zugreifen.
Das VPN habe ich nicht eingerichtet, aber das wären weitere 15 Min.
Bei der Anmeldung werden 50 Credits geschenkt, diese Lösung kostet 4 Credits pro Tag – also kann man 12 Tagen testen (wenn man einen RasPi hat).
Das ist der Link: https://www.feste-ip.net
(Wenn Du den Link mit dem Zusatz “/?ref=26550” nutzt, kostet es Dich nicht mehr und ich bekomme einen kleinen Bonus…).
Grüße
Victor
Hi Dominik,
Martin hier. Entschuldige, dass ich dich kontaktiere, aber finde sonst keine Möglichkeit, auf meine ‘Probleme’ eine Antwort zu finden.
Ich habe in Spanien (La Mata/Torrevieja bei Alicante) eine kleine (35 m² grosse) Wohnung gekauft, aber zu spät gesehen, dass weder Telefon- noch TV-Anschluss vorhanden sind, sondern nur Antennenanschluss. Möchte weder einen teuren Telefon- oder TV-Vertrag abschliessen. Wie kann ich günstig TV empfangen (bin Schotte und empfange gerne englische Sender, aber die deutschen Sender sind mir auch sehr wichig!). Bin nur ca. 2-3 Monate im Jahr da, wenn alles renoviert und möbliert ist. Ist eine Schüssel empfehlenswert? Internet-Stick? Sind deutsche Internet-Sticks auch in Spanien gültig? Internetverbindung? Würde mich über eine Antwort von dir freuen, obwohl ich verstehe, dass du keine genaueren Angaben machen kannst, ohne die lokalen Begebenheiten zu kennen, also nicht schlimm, wenn du mir nicht helfen kannst. Trotzdem ‘Danke’.
Ich danke dir im Voraus für deine Antwort und für deine Bereitschaft, anderen zu helfen.
Martin
PS: Sorry, aber ich bin total unerfahren in solchen Sachen… M
Hallo Dominik,
erstmal, super Videos. Haben mir schon oft geholfen.
Wenn ich zwischen meiner FritzBox und meinem iPad Pro einen VPN Tunnel einrichte, kann ich von aussen auf mein Netzwerk zugreifen und nutze meine DSL Verbindung für den Traffic. Das hieße, ich hätte über LTE maximal 40MBit Downloadgeschwindigkeit (der maximale Upload meiner DSL Leitung zu Hause), richtig?
Und wenn ich mit dem iPad zu Hause im WLAN bin, muss ich dann VPN abschalten, damit ich bei Downloads nicht meine DSL Leitung auslaste? Oder merkt das iPad das und verbindet sich normal mit dem WLAN?
Gruß
Christian
Hallo Dominik,
in deinem Video sagst du am Ende dass du von unterwegs ohne VPN auf deine DS zugreifst.
Deinen anderen Videos ist zu entnehmen dass du dies per HTTPS mit einem Zertifikat von Let’sEncrypt machst.
Ist diese Art des Zugriffes denn genau so sicher als würde man per VPN auf das Netzwerk zugreifen?
PS. Tolle videos, mach auf jeden Fall so weiter.
Ja das interessiert mich auch. Beides funktioniert auf alle Fälle sehr gut.
Hallo Dominik,
in deinem Video sagst du am Ende dass du von unterwegs ohne VPN auf deine DS zugreifst.
Deinen anderen Videos ist zu entnehmen dass du dies per HTTPS mit einem Zertifikat von Let’sEncrypt machst.
Ist diese Art des Zugriffes denn genau so sicher als würde man per VPN auf das Netzwerk zugreifen?
PS. Tolle videos, mach auf jeden Fall so weiter.
Hi Dominik, welche Anbieter sind denn empfehlenswert? Im Ünrigen Danke für die Erklärungen! Viele Grüße, Michael
Hi Dominik,
wirst Du Dich eventuell mal dem Thema “USG” bzw. “USG-PRO” und Open VPN Zugang widmen?
Im Moment kann man das ja nur über den SSH Zugang wohl programmieren.
Hast Du da eine Anleitung oder kennst Dich aus? Ich würde auch dafür zahlen, einen einwandfreien Zugang zu bekommen.
Oder nutzt Du OpenVPN aussschließlich auf der DS ?
Hallo Michael,
ich werde mich Themen im Beta-Stadium nicht widmen. Meine Systeme laufen produktiv und von Spielereien bin ich abgekommen, da ein zweiter Internetanschluss notwendig wäre. Lasse ich Systeme mit Beta-Firm- oder Software laufen, so muss ich mit den einhergehenden Schwierigkeiten rechnen. Probleme treten meist immer dann auf, wenn ich sie nicht gebrauchen kann.
Zudem liegt mir die Zufriedenheit meiner Kunden am Herzen, denn es fällt was ich tue auf mich zurück. Bisher habe ich dieses Ziel erfüllt und wenn nur positive Rückmeldung erhalten. Fange ich an zu basteln, führt dies meiner Erfahrung nach entweder in einen für den Kunden teueren Teufelskreis oder es wird für mich teuer, wenn es am Ende gar nicht funktioniert. Warum soll der Kunde denn für etwas bezahlen, was ich mit einer Beta mal probieren wollte. Gerade bei Deinem Satz “einwandfreien Zugang” muss ich schmunzeln, das funktioniert zum jetzigen Zeitpunkt nur mit der DiskStation und da einwandfrei.
Da hast Du natürlich vollkommen recht. Den Open VPN Zugriff habe ich ja dank Deiner Anleitung schon sehr lange und dieser läuft auch Top!
D.h. ich nutze diesen weiter und warte mal ab, was Ubiquiti dieses Jahr noch alles macht. Du meintest ja, dass VPN in dem USG ggf. auch kommen sollte.