Gesamten Internettraffic (Router) per externem VPN-Dienst umleiten/verschlüsseln?

[daniel85bonn]

Hallo!

Ich beschäftige mich zurzeit ein bisschen mit VPN-Diensten wie z.B. CyberGhost.
Zurzeit habe ich auf einigen Geräten, nicht auf allen, die ich im Internet nutze, einen entsprechenden VPN-Client installiert, der auf jedem Gerät erst mal gestartet werden muss und separat eine geschützte Verbindung zu den Servern des VPN-Dienstes aufbaut.
Das Problem, das ich sehe, ist aber dass nicht alle Geräte mit Internetanbindung die Möglichkeit bieten, einen VPN-Client zu nutzen, so zum Beispiel mein Sat-Receiver, der über HbbTV auch eine Internetverbindung herstellt, oder meine Playstation 4, mit der hier und da auch Login-Daten übertragen werden, wo ich aber nicht immer weiß, ob die Übertragung verschlüsselt erfolgt oder unverschlüsselt.

Ich möchte daher - falls möglich - erreichen, dass meine FritzBox 7490 (aktuellste Original-Firmware) sich automatisch beim Einwählen ins Internet mit diesem VPN-Dienst, wie z.B. CyberGhost o.ä. verbindet, also ALLE Verbindungen die aus meinem Heimnetzwerk heraus gehen, automatisch über den VPN-Dienst umgeleitet werden.

Ist so etwas grundsätzlich machbar? Wenn ja, wie und mit wieviel Aufwand?
Ich hatte auch schon überlegt ein Raspberry Pi 3 entsprechend zu konfigurieren, also dass alle WLAN-Geräte nicht direkt eine Verbindung zur FritzBox aufbauen, sondern zum Raspberry Pi 3, das widerum als einziges Gerät (per LAN-Kabel) mit der FritzBox verbunden ist und entsprechend auf dem Raspberry Pi 3 den VPN-Client laufen zu lassen, sozusagen als zwischengeschalteter "Filter". So könnte es denke ich funktionieren. Die Frage ist dann jedoch noch, wie gut sich das mit dem Raspberry Pi umsetzen lässt, also ob die WLAN-Antenne des Raspi für sowas überhaupt stark genug ist oder der Pi mit der Vielzahl der Verbindungen ggfs. überfordert sein könnte.

Ich danke schon mal für Antworten!

 

[Chiller3333]

Ob die FritzBox das Out of The box kann weiß ich leider nicht.
Ein PC/Server, der als Router konfiguriert ist kann das aber definitiv. Die Frage ist nur, wie stark dieser sein muss. Ich bezweifele, dass der Pi mit der Datenmenge vernünftig umgehen kann.

 

[Raijin]

Dein Vorhaben in allen Ehren, aber ich rate dringend davon ab.

1) VPN-Dienste sind in der Regel langsamer als deine Internetanbindung. Bei zB VDSL50 mit 50 Mbit/s, stehen die Chancen gut, dass du deine Leitung nur zu zB 50% nutzen kannst, weil der VPN-Server einfach zu langsam ist. Der Ping leidet durch die Umleitung je nach Serverstandort zusätzlich.

2) VPN kann trügerisch sein. Du sprichst davon, dass du unverschlüsselte Logins schützen willst. Ein VPN ist aber nur zwischen Client und Server verschlüsselt. Nach dem VPN-Server ist die Verbindung wieder so sicher/unsicher wie sie ohne VPN ist.

3) Du leitest damit sämtlichen Traffic über den VPN-Anbieter. Ein gewisses Grundvertrauen gegenüber dem Dienstleister, der zB in Rumänien oder sonstwo sitzt, ist dabei unerlässlich.

4) Nutzt du zB bestimmte Online-Shops, die beispielsweise Steam-Keys verkaufen, wird der Bestellvorgang unter Umständen abgebrochen, wenn erkannt wird, dass du über eine bekannte VPN-IP bestellst.

5) Netflix und diverse andere Streaminganbieter haben bereits angekündigt (zum Teil auch schon umgesetzt), dass sie Streams an bekannte VPN-Dienste blockieren wollen, um Umgehung von regionalen Sperren, o.ä. zu unterbinden.



Das sind handfeste Gründe, die explizit gegen eine permanente VPN-Verbindung sprechen. Dafür spricht so gut wie nichts. Wenn dir die individuelle VPN-Verbindung je Gerät nicht komfortabel genug ist, empfehle ich dir ein zweites Gateway ins Netzwerk zu hängen und dann am Endgerät über das Ändern des Default Gateways die VPN-Verbindung zu nutzen bzw. nicht zu nutzen. Beispielsweise mit einem Raspberry PI mit der IP 192.168.178.2. Nu kannst du in den (W)LAN-Einstellungen einfach das Standard-Gateway von der .1 (Fritzbox) auf die .2 (PI) umschalten und der PI wiederum hat die VPN-Verbindung zu Cyberghost und Co.

 

[daniel85bonn]

Danke für die Rückmeldung. Gut, das mit dem Gateway umstellen etc. vereinfacht die Sache jetzt nicht unbedingt in der Praxis und deine Argumente, die gegen eine permanente VPN-Verbindung sprechen, klingen auch schlüssig. Daher hat sich das Thema dann wohl für mich erledigt.

 

[Raijin]

Das Gateway ließe sich ja zB mit einer Batch-Datei bzw. einem Skript umstellen. Es gibt auch zahlreiche Netzwerktools, die Profile speichern können (zB NetSetMan, ipProfiler, etc). Damit wäre das Umschalten dann ebenfalls recht simpel erledigt (zumindest bei PCs). Bei Spielekonsolen oder ähnlichen Geräten mit eigenem Betriebssystem/Firmware muss man das natürlich per Hand im Menü machen. Wobei sich bei diesen Geräten wiederum die Frage stellt ob ein VPN überhaupt sinnvoll ist (zB Internetradios o.ä.).

Was ich oben als Argument noch vergessen hatte:

Aktuelle Spielekonsolen bauen auch Direktverbindungen zu anderen Konsolen auf, beispielsweise für VoiceChat. Deshalb muss man teilweise auch Portweiterleitungen im Router einrichten, um die eingehenden Verbindungen der Mitspieler-Konsolen an die Konsole weiterzuleiten. Dieser Mechanismus funktioniert nicht, wenn die Konsole via VPN online ist, weil der Übergang ins WWW dann effektiv nicht mehr der eigene Router ist, sondern der VPN-Server des Anbieters. Auf dessen Portweiterleitungen hat man jedoch keinen Zugriff => Probleme beim NAT-Typ der Konsole.

Trotzdem kann es Vorteile haben, ein zentrales VPN-Gateway anstelle von diversen Einzelverbindungen zu haben. Gerade bei Cyberghost gibt es ja beispielsweise verschiedene Tarife mit 1 bzw. bis zu 5 Endgeräten. Ich hab es zwar nie ausprobiert, aber es würde mich nicht wundern, wenn der Einzeltarif nur eine einzige VPN-Verbindung zur Zeit zulässt. Folglich müsste man zwangsläufig in den Premium-Tarif wechseln. Lässt man das VPN dagegen über einen PI laufen, ist der PI das einzige Gerät mit VPN-Verbindung und demnach reicht auch der kleine Tarif. Dass hinter dem PI diverse andere Geräte das VPN nutzen, bekommt Cyberghost überhaupt nicht mit.