Verständnisfragen zu VPN´s

Hi zusammen,

ich bin bei meiner Suche hier auf das Forum gestoßen und hoffe, dass ihr mir evtl. ein wenig weiterhelfen und noch die ein oder andere Verständnisfrage erläutern könnt.

Zuallererst: Ich bin kein Profi oder Experte, sondern eher ein Laie, daher vergebt mir bitte die ein oder andere evtl. naive oder „doofe“ Frage :slight_smile:

Ich hatte schon mal bereits für 4 Monate einen Mullvad „Account“. Ja ich weiß, dass es am sichersten ist, einen eigenen VPN-Server zu betreiben, jedoch traue ich mir das nicht zu, zumal ich auch denke, dass ich das an sich nicht direkt benötige.

Doch was benötige ich denn?
Folgendes würde ich gerne realisieren:
1.: „Sicheres und anonymes“ surfen im Internet (einfach generell mehr (Daten)schutz) auf allen Geräten innerhalb meines Heimnetzwerkes
2.: „Sicherer“, verschlüsselter Zugriff auf mein Heimnetzwerk von außerhalb
3.: Eine Tunnelverbindung zwischen meinem Heimnetzwerk und dem Heimnetzwerk meiner Eltern

Nun habe ich mich ein wenig versucht in die Thematik einzulesen, habe aber noch ein paar Fragen hierzu.

Zu 1.: Um das zu realisieren, kann ich natürlich die Software eines beliebigen VPN-Anbieters auf meinen Endgeräten installieren, das weiß ich. Da ich leider nur einen Speedport habe, kann ich nicht direkt das gesamte Netzwerk über diesen VPN nutzen. Hierfür könnte ich mir jedoch einen VPN-Server/Router kaufen, diesen dann an mein Speedport hängen und an diesen dann wiederum all meine Geräte im Heimnetzwerk verbinden. Hab ich das soweit schon mal richtig verstanden?
Wäre es denn nicht auch möglich, hierfür einen RaspberryPi o.ä. zu nutzen? Könnte ich über diesen dann einen mehr oder weniger beliebigen VPN Anbieter nutzen (bspw. Mullvad), sodass mein gesamter Traffic des Netzwerkes über den Mullvad VPN läuft, welcher auf dem Raspberry ist?

Zu 2.: Ich weiß, dass dies bspw. über OpenVPN machbar und realisierbar ist. Wenn ich nun z.B. die Lösung mit dem Raspberry + einen VPN-Anbieter meiner Wahl realisiere, kann ich dann über diese Infrastruktur auch von Unterwegs auf mein Heimnetzwerk zugreifen und wenn ja, wie geht das?
Oder müsste ich hierfür eine weitere, seperate z.B. OpenVPN Verbindung aufbauen, welche nicht über einen VPN-Anbieter meiner Wahl läuft?

Zu 3.: Wenn ich es richtig verstanden habe, wäre dieses Szenario ja ähnlich zu meinem zweiten. Hierfür müsste ich einen weiteren, separaten Tunnel zwischen meinem bspw. Raspberry und in dem Fall der Fritzbox meiner Eltern herstellen, oder?

Vielen Dank schon mal vorab für eure Hilfe. Ich hoffe, ich verzweifle euch nicht mit meinen Fragen :smiley:

JA! Der VPN-Router hängt per LAN am Speedport, der ist das Gateway nach „draußen“! Am VPN-Router hängen dann alle deine Heim-Geräte per LAN oder Wlan.

Jawohl, das gayt!
Eine Anleitung für den Raspberry Pi mit dem Einsatz von „Perfect Privacy“, um den RasPi zum VPN-Router zu machen, findest du z.B. hier:

https://vpn-anbieter-vergleich-test.de/anleitung-raspberrypi-vpn-router/

Da die meisten VPN-Provider so etwas unterstützen und der RasPi sehr beliebt ist, findest du über Tante Guuble satt und genug zu dem Thema!! :wink:

1.) Speedport - Zugriff von aussen auf Heimnetzwerk:

a) Um von außen auf den Speedport überhaupt zugreifen zu können musst du im Speedport einen Dyndns-Dienst eingerichtet haben und einen FTP-User angelegen!
Dyndns-Dienste kosten meist Geld, aber es gibt auch freie Varianten, wie z.B. bei

https://www.cloudns.net/dynamic-dns/lang/de/?utm_source=Google&utm_medium=CPC&utm_campaign=DE%20Dynamic%20DNS

Die Daten dieses Accounts müßten dann im Router-Menü eingetragen werden!
Warum das Ganze:
Dynamic DNS ist ein DNS-Dienst, der die Option bietet, die IP-Adresse eines oder mehrerer DNS-Einträge automatisch zu ändern, wenn die IP-Adresse deines Geräts vom Internetanbieter dynamisch geändert wird. Der Dienst wird im Fachjargon auch als DDNS oder Dyn DNS bezeichnet.

Wenn du keine statische IP-Adresse hast, ändert sich die IP-Adresse jedes Mal, wenn du erneut eine Verbindung zum Internet herstellst. Um zu vermeiden, dass deine Einträge bei jeder Änderung der IP-Adresse manuell aktualisiert werden, musst du Dynamic DNS für deine Domain einrichten.

b) Danach muß im Speedport eine Port-Weiterleitung eingetragen werden (LAN-Verbindung vom Speedport zum RasPi)!
Das bedeutet, weil der RasPi HINTER dem Speedport hängt und du diesen ansteuern willst, muß deine Anfrage von außen im Speedport „durchgereicht“ werden, um denRaspberry zu erreichen - dafür die Port-Weiterleitung!

Das wäre es erstmal zusammengefasst zu dem Außenzugriff von Unterwegs auf den VPN-Router (Raspberry Pi)!!

Dazu habe ich für die Verbindung über das interne Fritz-VPN-System mit Benutzern von außen, ein Tut geschrieben…vielleicht kannst du damit ja was anfangen?!?

FritzBox OpenVPN: Eigenen VPN-Tunnel einrichten!!!

Grundsätzlich funktioniert die Verbindung ähnlich vom techn. Prinzip her, wie die Verb. in Punkt 2 ! Eine getunnelte Verbindung zwischen zwei Routern (Speedport & FritzBox) ist halt etwas komplizierter und auch granulierter zu konfigurieren!!
Denke bitte immer daran, dass du IMMER über den Speedport gehen mußt (rein und raus). Der ist das Gateway, der dich zum RasPi überhaupt durchlässt! :wink:

Dankeschön für deine Antwort :slight_smile:

Ok, dann habe ich das schon mal soweit verstanden :smiley:

Super, dann werde ich mich diesbezüglich auch nochmals intensiver in die Thematik einlesen.
D.h. grob zusammengefasst, dass ich einen single board computer benötige (bspw. raspi, kann jedoch auch ein anderer sein, Hauptsache leistungsfähig genug dafür), dann ein bspw. Linux Betriebssystem drauf und darauf dann per OpenVPN (?) einen VPN-Provider meiner Wahl (der sowas unterstützt) nutzen?

Ok, das mit dem DDNS weiß ich soweit und sollte auch kein Problem darstellen. Habe ich schonmals für eine Synology DS und einen darauf laufenden VPN-Server eingerichtet. Dafür hatte ich dann No-Ip genutzt.

Hierzu noch eine Frage: Die Portweiterleitung zum RasPi brauche ich dann doch auch nur deswegen, weil mein Heimnetzwerk vom RasPI VPN-Server verschlüsselt wird. Entsprechend wäre dann der Fernzugriff von außen durch den DDNS auch sicher und verschlüsselt, oder?
Hierfür würde ich dann eine separate Tunnel-Verbindung, unabhängig von der Verbindung von Punk 1 benötigen, oder?

Und hierbei wäre dann eine dritte, separate Tunnel-Verbindung notwendig und hätte mal nichts mit der VPN-Verbindung mit einem VPN-Provider zu tun, richtig?
Und die Verbindung zwischen Fritz-VPN und meinem OpenVPN-Server auf dem RasPi wäre prinzipiell machbar und möglich (wenngleich auch, wie du geschrieben hast, etwas komplizierter)?

Vielen Dank auf jeden Fall für deine Hilfe. Bin in diesen Themen neu, finde sie aber auf jeden Fall sehr spannend. Möchte nicht die „perfekte“ und „ultimativ sichere“ Möglichkeit, jedoch denke ich, dass jeder Schritt Richtung etwas mehr Anonymität und Sicherheit etwas wert und sinnvoll ist. :slight_smile:

Jap…also ich würde einen RasPi 4 (aktuelle Edition) nehmen mit 4 GB RAM…da die Verschlüsselung echt Performance braucht!
Oder halt nen vergleichbaren Bastel-Kasten :wink:
Wenn du eine linux-Distri für RasPi installierst, sollte das eigentlich mit 95% der VPN-Provider klappen!

Die Außen-Verbindung zum Speedport über DDNS wird über den Browser verschlüsselt (SSL/TLS) plus nem sicheren LogIn am Speedport…dafür extra auch noch nen VPN ist Geschmackssache, denn der Telekom-Router schleift dich ja nur durch und dann steht die Zugriffsanfrage erstmal vor dem VPN-Router…wenn der sauber konfiguriert ist, sollte dort kaum Gefahrenpotenzial entstehen!! Auf dem RasPi läuft ja nicht nur der eigentliche VPN-Server, sondern u.a. noch eine DNS-Maskierung und eine Firewall mit Portregeln etc. pp. (steht auch in dem genannten Beispiel-Tutorial oben drin beschrieben).
Da muß erstmal jemand dran vorbeikommen :wink:

Richtig!

Genau…ein ähnliches Szenario ist meiner Meinung nach auch in dem Fritzbox VPN-Tutorial drin!

P.S.
Da eine Firewall (mit Portregeln) auf dem VPN-Router laufen sollte, kann man zum Bspl. mit einem SSO-Client arbeiten für die DDNS-Verbindung. SSO = Single-Site-On
Dieser Client baut eine Tunnel-Verbindung von deinem Gerät unterwegs zu dem VPN-Router über die Firewall-Regeln auf!!
Zum Einlesen kann ich dir hier die „Bibel der FiSi’s und IT-Techniker“ wärmstens empfehlen. Sehr fundiert, klar und deutlich in verständlichem Deutsch geschrieben…beruhen sogar IHK-Prüfungsfragen drauf - existiert schon 20 Jahre plus! Gibt auch eine eigene RasPi-Abteilung dort :wink:

https://www.elektronik-kompendium.de/sites/net/index.htm#a5

Hatte mir alternativ zum RasPi den ODROID-XU4 ausgesucht. Der müsste ja nochmals Leistungsfähiger sein. Aber da werde ich mich noch weiter informieren.
Welche Linux-Distribution wäre hierfür denn geeignet (kenne mich bisher noch gar nicht mit Linux aus.)

Wenn ich das richtig verstehe, würde der VPN-Tunnel lediglich die Verbindung vom DDNS Server auf den Speedport verschlüsseln. Ab dem Speedport erfolgt der Zugriff dann ja sowieso auf den RasPi VPN-Server und sollte mit ordentlich konfigurierten Firewall Regeln etc. sicher sein?!
Wie sieht das dann in der Praxis aus? Ich gebe im Browser von unterwegs meine DDNS-Adresse ein. Was passiert dann? Was bekomme ich angezeigt?

Vielen Dank auf jeden Fall für deine Hilfe. Werde mir die Tut´s und Beiträge alle noch durchlesen. Sorry für die vielen Fragen, finde das Thema nur sehr spannend und möchte gerne mehr verstehen davon :slight_smile:

Der ODROID ist eindeutig schwächer ausgelegt! Die CPU hat zwar etwas mehr Saft, aber den XU-4 gibts nur mit 2 GB DDR3-RAM der Pi dagegen hat 4 GB DDR4-RAM - Der Arbeitsspeicher ist der mit entscheidende Flaschenhals bei VPN…
Im Übrigen hat der ODROID KEIN Wlan mit an Bord !!! Der Pi dagegen macht direkt Wlan !!!

Bei dem RasPi hast du übrigens den imensen Vorteil, der grossen Community - es gibt also für den Pi weitaus MEHR Software und vorgefertigte Images an Betriebssystemen, Skripte und allgemeinen Support durch Foren usw, die dann z.B. direkt auf einen VPN-Router ausgelegt sind !! Das entfällt bei dem XU-4 größtenteils !!
Ich pers. würde da den Pi 4 mit 4 GB DDR4-RAM immer vorziehen…das macht es dir am Ende auch nur leichter für das Projekt. :wink:

Thema Betriebssysteme für den Pi:

0

Das waren nur ein paar von noch viel mehr Auswahl !

Da gibt es verschiedene Möglichkeiten, ist pauschal nicht wirklich beschreibbar, weil es darauf dann ankommt, welche Software du einsetzt final. Und auch wie du die Verbindung unterwegs aufbaust dann - z.B. über den genannten SSO-Client, über deinen Web-Browser, ein Tool welches dir event. der VPN-Provider zur Verfügung stellt, oder auch mit eingesetzten Sicherheits-Zertifikaten und / oder Key-Exchanges usw.
Das Szenario soll am Ende so aussehen, dass du z.B. mit deinem Laptop unterwegs bist. Entweder wird dann eine Client-Software kurz gestartet, in der du dich einloggst, der Rest der Verbindungstätigkeiten läuft unsichtbar im Hintergrund ab und das Ergebnis ist, dass du deine Heimgeräte im Fenster des Client angezeigt bekommst mit Zugriff natürlich.
Oder du rufst deinen Browser auf, gibst die DDNS-Adresse ein und er verbindet sich vollautomatisch auf deinen VPN-Router und du siehst dein Heimnetz dann im Browser-Fenster. Bei einem zuvor installierten Zertifikat auf dem Laptop und dem passenden Zertifikat auf dem Router, entfällt dann der typische Login. Da wird die kompl. Verbindung über die beiden Zertifikate ausgehandelt inkl. der Verschlüsselung etc. Die beiden Zertis sind einzigartig nur für diese eine Verbindung - heisst, dass kein anderer diese Aushandlung betreiben könnte, ausser der pöse Haxxor hat dein Laptop-Zerti vorher kopiert… :wink:
Wenn die Konfig stimmt, gibt es auch noch weitere Methoden! Du siehst, das Thema an sich ist sehr komplex und gerade bei den Schritten der Konfiguration, darfst du nicht schlampen, weil du ansonsten die Sicherheit der Verb. selber wieder aushebeln könntest…
Du kannst natürlich auch das ganze Projekt irgendwie mit Skripten und vorgefertigten Applikationen einfach aufsetzen und dich um die Feinheiten und Tricks der Einstellungen gar nicht kümmern. Du darst dich dann nur nicht wundern, wenn die pösen Puben dann irgendwann in deinem Heimnetz dir HALLO sagen! :rofl: :rofl:

Ah ok, das mit dem RAM ist durchaus ein Argument. Hatte bisher lediglich nur auf die CPU geschaut…
Dann werde ich wohl doch beim RasPI bleiben :slight_smile:

Ich könnte doch dann bei bestehender VPN-Verbindung einfach die IP-Adresse meiner NAS eingeben und würde zu dieser verbunden werden, oder?
Das wäre nämlich wahrscheinlich genau das, worauf ich meistens den Zugriff von Unterwegs benötigen würde.

Kommt, genau so, wie alles andere vorher, auf die Art der Konfiguration an - also welche Software due einsetzt und wie final Verbindung und Verschlüsselung ausgehandelt werden!?
Wenn ich mich mit einem Kunden-Server oder auch einem eigenen Server im Web irgendwo verbinden will mit einem Tunnel (mal von Zertifikaten und Keys abgesehen), ist nach erfolgreicher Verbindung, auf meinem entfernten PC das interne Netzwerk genauso zu sehen, als ob ich vor Ort wäre!! Wenn ich dann einen NAS / SAN öffnen möchte,mache ich am Server einfach nen Doppelklick und sehe das Dashboard oder auch die Ordner-Struktur des NAS! Also genauso, als ob du vor Ort wärst vor dem zentralen Server persönlich davor sitzt und dir die Clients deines Netzwerks anschauen möchtest - du darfst nämlich nicht vergessen…der RasPi mit dem VPN darauf, ist ein eigenständiger SERVER und das Linux gibt dir ja auch noch administrative Berechtigungen und Möglichkeiten an die Hand…!! :wink: :underage: :non-potable_water: :bangbang: :bangbang: :crazy_face:

Hallo,
Ich bin auch kein Experte auf dem Gebiet.
Aber wenn du interessiert bist, generell bisschen was über VPNs zu lernen kann ich dir einen Artikel empfehlen. Hab den mal unten verlinkt.
Hab mir nach dem lesen auch ein VPN-Router gekauft :smiley:
https://www.technikhiwi.de/vpn-router-test/

Ich habe mir zwar nicht den ganzen Artikel dort durchgelesen, was mir aber aufgefallen ist, sind die drei Geräte oben auf der Seite, die wohl auch den Titel des Artikels ausgelöst haben!!
Von den drei vorgestellten Routern ist leider nur EIN einziger ein so betitelter VPN-Router von Haus aus!! Nämlich der billigste aus der Auswahl:

GL.iNet Mini Travel Router

(OpenWrt vorinstalliert / OpenVPN-Client vorinstalliert, kompatibel mit mehr als 30 VPN-Dienstleister.

Die Fritzbox und der TP-Link Router sind stinknormale Standard-Router!! Wenn man als Technik-Wiki bzw. als Autor dabei schon keine Unterschiede macht, sollte man den Rest des Artikels schon relativ kritisch sehen…! :wink: