[YamNua]

Virtual Private Network (VPN)

Das Thema ist nicht ganz trivial … deshalb Vorwege es wird technisch. Ich werde versuchen das ganze möglichst praxisnah zu beschreiben und zu definieren.
Ich Teile das Thema auf und werde Nach und Nach versuchen alles zu posten ....
Fragen, Anmerkungen, Verbesserungen und Ergänzungen sind sehr erwünscht.

VPN ist eine Technik um zwei Netzwerke oder auch nur ein Netzwerk und ein Gerät über das Internet über eine gesicherte Verbindung miteinander zu verbinden.

Anhang anzeigen 1558506608983.jpg

Ziel ist es immer das das entfernte Gerät alle Dienste des internen Netzwerkes nutzen kann z.B.

• Drucker
• Telefonie
• Datenservice
• Smart Home Objekte (Lampensteuerung / Heizungssteuerung etc )

Der Vorteil gegenüber einer Freigabe der Geräte über Network Address Translation (NAT) ist eine erhöhte Sicherheit und das man nicht jedes Gerät einzeln im Netz exponieren muss. Bei der Einrichtung über NAT leite ich im Router einzelne Ports auf einzelne Geräte weiter über VPN wird das Gerät das sich einwählt Teil des Heimnetzwerkes.

NAT wird z.B. gebraucht wenn ich meinen eigenen Webserver betreiben möchte. Hier wird dann im Internet Router z.B. der einkommende Port 80 auf den Port 80 des internen Webservers weitergeleitet. Dieses ist eine Notwendige Technik da die Internetadressen im Bereich IP V4 knapp sind und nicht jedes Heimgerät eine eigene Adresse bekommt. So bekommt euer Router bei der Einwahl eine Adresse (meist dynamisch … also immer wechselnd) zugewiesen. Alle anderen Geräte in eurem Heimnetzwerk sind dahinter maskiert. Also wenn Ihr das TAF aufruft … und dazu zuhause abwechselnd das Smartphone und den Laptop benutzt tut Ihr das immer mit derselben IP Adresse nämlich der die euer Router zugewiesen bekommen hat.

Hier kommt jetzt bei privater Nutzung das erste Problem ins Spiel … dadurch das sich die IP Adresse bei jeder Einwahl ändert wird es erst einmal schwierig euer Gerät ständig zu erreichen. Es wird also ein Dienst gebraucht dem diese Änderung mitgeteilt wird. Das sind sogenannte DynDns Dienste.

Bei diesen Diensten ( in FritzBox z.B. enthalten) richtet Ihr euch einen Auflösbaren Namen ein (z.B. meinvpn.dyndns.org). Hier meldet sich (meistens) der Router an, teilt diesem Dienst die Momentane IP Adresse mit und macht diese „Auflösbar“. Das heißt euer Heimnetzwerk ist immer unter der Adresse meinvpn.dyndns.org erreichbar trotz sich ändernder IP Adresse.

Die Nutzung eines solchen Dienstes ist die erste Voraussetzung zum Aufbau einer VPN Verbindung, wenn man nicht Besitzer einer festen IP Adresse ist.

Mehr zu diesen Diensten:
DynDNS-Anbieter im Überblick

Ich benutze meistens DynDns ... dieser Dienst ist aber Kostenpflichtig

 

[YamNua]

VPN Protokolle

Weiter im theoretischen Teil ...
Ich betrachte hier nur zwei relevante Implementierungen ... das eine ist SSL das andere IPSEC.
Die Protokolle bezeichnen wie eine VPN Verbindung hergestellt wird und wie die Geräte miteinander kommunizieren.
Das Prinzip ist aber bei beiden Systemen gleich. Es werden Datenpakete gekapselt ( auch das wird später noch mal wichtig ) das heißt:
Der Computer schickt ein Datenpaket an den Router .... dieser guckt nach wo soll das hin .... soll es in eine VPN Verbindung, packt er es ein, verschlüsselt und sendet es an die entsprechende Gegenstelle. Diese packt es mit einem passenden Schlüssel wieder aus und reicht es an das entsprechende Gerät oder Applikation weiter. Bei einer Netz <-> Netz Kopplung würde diese Aufgabe der jeweilige Router übernehmen bei einer Netz <-> Endgeräte Kopplung der Router auf der Netzseite und der VPN Client ( OpenVPN oder was auch immer ) auf der Endgeräte Seite.
SSL VPN und IPSEC VPN sind hier einfach nur unterschiedliche Arten das zu bewerkstelligen. SSL VPN findet hauptsächlich Anwendung bei der Kopplung Netz <-> Endgeräte ... IPSEC sowohl aus auch bei der Kopplung Netz <-> Endgeräte als auch der Netz <-> Netz Kopplung.
Die beliebten Fritz Boxen setzen mit Ihrer VPN Lösung z.B. auf IPSec auf. Die meisten freien Lösungen auf OpenVpn das das SSL Protokoll unterstützt.

 

[Pilo]

@YamNua darf ich da noch was technisches ergänzen. Ich denke das NAT (Name Adress Translation) ist eine Technik die Du hier erwähnt hast, aber nicht weiter erklärt. Und bevor dazu Fragen auftreten hier die Erklärung.

NAT ist eine Netzwerkadressübersetzung.

Jeder Rechner hat eine IP Adresse über die er angesprochen wird. (Das war bisher eine V4 Adresse und ist neuerdings oft eine V6 Adresse, da es weltweit nicht mehr genug V4 Adressen gibt. Wie diese aufgebaut ist wäre nochmal ein eigenes Thema.)
Jedenfalls besteht so eine IPv4 Adresse auf 4 Elementen die jeweils eine Zahl von 0 bis 255 enthalten kann.
Die kleinste IP Adresse wäre also 0.0.0.0 und die größte 255.255.255.255. (theoretisch. Es gibt dabei ein paar Einschränkungen)

Jeder Provider hat einen sogenannten Pool an Adressen die er wechselweise den Kunden und damit ihren Routern zuweist.
Diese Zuweisung geschieht über einen sogenannten DHCP Dienst.
Jeder Router trennt alle 24 Stunden die Verbindung zum Provider und baut diese neu auf.
Dabei bekommt er in der Regel eine neue IP Adresse aus dem dafür vorgesehenen Pool vom Provider zugewiesen.
Das bedeutet Dein Router geht jeden Tag mit einer anderen IP Adresse in‘s Internet.

Das möchte man im internen Netz natürlich nicht haben. Daher hat der Router einen eigenen DHCP Server und einen eigenen Pool.
Für solche privaten Netze ist der Bereich von 192.168.x.y vorgesehen. Dieser wird auch nicht im öffentlichen Internet verwendet.

Also Dein Router vergibt Deinem Laptop (oder auch Deinem Handy oder Tablet die per WLAN angeschlossen sind) eine 192.168.x.y Adresse.

Damit der Austausch mit dem Internet nun funktioniert, muss der Router eine Verbindung von Deiner 192.168.1.2 (als Beispiel) Adresse zu der öffentlichen Adresse die er vom Provider bekommen hat (zum Beispiel 217.142.18.27) herstellen.
Und genau das ist die Übersetzung von der Internet zur Externen Adresse.
Der Router schaut sich das Datenpaket an, dass Dein Rechner in‘s Internet schickt und tauscht darin die Adresse 192.168.2.1 durch die Adresse 217.142.18.27 aus. Dann schickt er das Paket ab.
Daher weiss der Server auch an wen er die Antwort zurück schicken muss.
Damit die Antwort auch wieder Deinem Rechner zurückgeschickt werden kann, dazu stehen Informationen im Paket, die Deinen Rechner identifizieren. Damit kann der Roter auf dem Rückwege diese Adress Übersetzung ebenfalls vornehmen.

Nun kommt dieses „Dynamische DNS“ (DynDNS) in‘s Spiel.
Da sich die IP Adresse Deines Routers jeden Tag ändert, müsstest Du, wenn Du die IP Adresse verwenden würdest, wenn Du Deinen Router und Dein Netz von Außen erreichen möchtest, jeden Tag im Gerät umprogrammieren. Zudem weisst Du sie ja nicht wenn Du unterwegs bist.
Daher gibt es diese DynDNS Dienste. Die musst Du einmal einrichten. Da kannst Du einen Namen für Deinen Router vergeben und musst Dich damit beim Dienst registrieren. Als Beispiel „pilos_router.dyndns.com“. Diesen Dienst mit den Zugangsdaten musst Du nun in Deinem Router konfigurieren. Dann sendet Dein Router automatisch jedes Mal, wenn er sich neu beim Provider anmeldet, die neue öffentliche IP Adresse an diesen DynDNS Dienst. Dieser trägt das im öffentlichen DNS ein und so kannst Du dann Deinen Router von außerhalb mit Deinem Namen immer erreichen. In meinem Fall zum Beispiel mit „pilos_router.dyndns.com“.
Und auch Dein VPN Client auf dem Handy oder Rechner braucht diesen Namen um von Außen per VPN auf Deinen Router und damit auf Dein internes Netz zugreifen zu können. Ansonsten würde er es garnicht erst finden.

 

[YamNua]

@Pilo klar ... hab ich doch extra geschrieben .... bitte ergänzt erweitert ... äußert Kritik
.... haut einfach in die Tasten ... bin für jede sachliche und fachliche Diskussion dankbar :)

Ich fand auch @KingPing Betrag zu Tex sehr interessant ... ich finde so extrem spezialisierte Gebiete der EDV spannend ( ich weiss ich bin nen nerd ... aber ich stehe dazu )

 

[Frank]

Das bedeutet Dein Router geht jeden Tag mit einer anderen IP Adresse in‘s Internet.

Gerade bei Kabelanschlüssen stimmt das nicht unbedingt.

Für solche privaten Netze ist der Bereich von 192.168.x.y vorgesehen.

Darüber hinaus gibt es weitere private Adressräume die genutzt werden können.

10.0.0.0 bis 10.255.255.255
172.16.0.0 bis 172.31.255.255

Das Problem bei einem VPN ist wenn in beiden unterschiedlichen Netzen, also das vom Endgerät und das Zuhause, die gleichen privaten Adressbereiche benutzt werden kommt es zu Konflikten.
Da hat dann der Drucker Zuhause die gleiche IP wie das benutzte Handy.

 

[YamNua]

@Frank hat vollkommen Recht ...
sowohl an Mobilfunk / Hybrid Zugängen als auch an DSL-Lite Zugängen ( oder wie auch immer die bei den Anbietern heißen ) ist VPN bereitzustellen zum Teil unmöglich ( im Bereich 4G Netz gibt es dafür Spezialanbieter )
Auch darf sich das lokale Netz im IP Bereich nicht mit dem Netz überschneiden aus dem ich mich einwähle.
Wenn ich jetzt in einem Hotel WLAN bin das den Addressbereich 192.168.178.x vergibt und zuhause die Fritzbox benutzt den selben IP Kreis kann man keine Verbindung aufbauen ... deshalb empfiehlt sich von vorneherein dem eigenen Netz einen Möglichst wenig genutzten IP Bereich zu geben

Definition "private Adressräume"
Private Adressräume sind IP Bereiche die im privaten LAN genutzt werden dürfen und nicht für öffentliche Server / Netzwerke zur Verfügen stehen. Nur diese Adressräume sollten hinter Router im LAN benutzt werden, da es sonst zu Störungen im Netz kommen würde.

Wiki

Gruss

 

[KingPing]

Die kleinste IP Adresse wäre also 0.0.0.0 und die größte 255.255.255.255

Letztendlich bedeutet das aber doch, dass jedem Datenpaket für ein empfangenes Netzwerk oder Endgerät eine Zieladresse vorangestellt sein muss, zumindest nach meinem Verständnis.

 

[Pilo]

@KingPing jedes Datenpaket hat vier Informationen im Header. Denn neben der IP Addresse gibt es noch einen Port.
Also Absender IP und Absender Port, und dann noch Empfänger IP und Empfänger Port.
Bei dem HTTP Protokoll das für Web Abfragen verwendet wird, ist das in der Regel der Port 80. Bei verschlüsseltem Zugang (also https) ist das normalerweise 443.
Der Port ist also eine zusätzliche Angabe die einen Dienst repräsentiert. Also http oder https.
Da gibt es noch diverse andere. SMPT (e-mail Versand) ist unverschlüsselt der Port 25.
Hier ist alles von 0 bis 65535 möglich.

Also dein Endgerät (der Browser) schickt eine WEB Abfrage an das TAF. Also Absender IP und Port sind dann Beispielsweise 192.168.1.2:47561 und der Empfänger ist dann das TAF wobei der DNS von „thailand-asienforum.com“ die IP Addresse 185.100.87.144 zurück liefert.
Also: Absender: 192.168.1.2:47561 Empfänger: 185.100.87.144:443

Nun mag deine öffentliche IP die 217.14.63.148 sein. Dann macht Dein Router daraus:
Absender: 217.14.63.148:47561 Empfänger: 185.100.87.144:443


Das TAF antwortet nun und schickt die angeforderte Seite zurück. Dabei hat sie nur diese Angaben:
Absender: 185.100.87.144:(irgendwas) Empfänger: 217.14.63.148:47561

Der Router macht daraus:
Absender: 185.100.87.144:(irgendwas) und Empfänger: 192.168.1.2:47561
Damit kommt das Paket bei Dir auf Deinem Rechner im Browser an und wird angezeigt.


Das ganze geschieht im sogenannten TCPIP Protokoll Stack. Das ist ein Schichtenmodell das aus 7 Ebenen besteht. Auf der obersten Ebene werden dann die Nutzdaten übertragen.

Hier: Transmission Control Protocol/Internet Protocol – Wikipedia
Und OSI-Modell – Wikipedia

 

[nispuk2000]

Gerade bei Kabelanschlüssen stimmt das nicht unbedingt.



Darüber hinaus gibt es weitere private Adressräume die genutzt werden können.

10.0.0.0 bis 10.255.255.255
172.16.0.0 bis 172.31.255.255

Das Problem bei einem VPN ist wenn in beiden unterschiedlichen Netzen, also das vom Endgerät und das Zuhause, die gleichen privaten Adressbereiche benutzt werden kommt es zu Konflikten.
Da hat dann der Drucker Zuhause die gleiche IP wie das benutzte Handy.

Damit du den Konflikt von gleichen IP-Bereichen nicht hast musst du auf deinem Router oder Firewall das Port Forwarding auf den VPN Service konfigurieren, auf dem VPN-Service einen separaten DHCP-Pool aufspannen und dann sämtlicher Traffic via VPN „tunneln“. Dann funktioniert es auch bei gleichen IPs Local/VPN.