VPN einrichten

[Katrin2001]

Hallöchen ^^

ich würde mich gerne mit meinem Heimnetzwerk verbinden von unterwegs aus.
Am Besten natürlich über eine gesicherte Verbindung.

Jetzt habe ich von VPN gelesen und würde das gerne einrichten und hätte ein paar Fragen ^^

1) Reichen Windows-Boardmittel aus?
2)Wenn ich in den Netzwerkeinstellungen eine neue eingehende VPN-Verbindung erstelle, ist diese dann verschlüsselt? Oder brauche ich dafür dann Software?
3) OpenVPN oder IPsec - muß ich dafür etwas installieren? Wäre doch komfortabel, wenn jeder PC für den VPN-Tunnel geeignet wäre ohne vorherige Installation eines Clients.
2) wer sollte VPN-Gateway sein, ein PC oder Router? Was ist der Unterschied?

Zuhause steht eine Easybox, die kann aber nicht viel.
Dyndns ist vorhanden.
Die Heimrechner haben alle Windows10.

Danke sehr! ^^

 

[Kenny [CH]]

Was für ein Router besitzt du?
Es ist immer am besten auf dem Router/Firewall als VPN Entpunkt zu setzten, ansonsten muss der Entpunkt Server/Computer immer laufen.

 

[Raijin]

Wenn die EasyBox selbst keinen VPN Server bietet, musst du irgendwo im Netzwerk einen VPN-Server installieren und in der EasyBox eine Portweiterleitung für die VPN-Ports einrichten. Von außen verbindest du dich dann über deine DDNS Adresse auf dem entsprechenden Port und bist per VPN mit daheim verbunden. Soviel zur Basis.

Ich persönlich bevorzuge OpenVPN, weil es simpel, flexibel und mit etwas Tuning auch recht schnell ist. Theoretisch (und auch praktisch) könntest du OpenVPN auf einem PC installieren und diesen als VPN-Server nutzen. Nachteil: Die Kiste muss immer an sein. In Anbetracht des nicht unerheblichen Energieverbrauchs ist das nicht wirklich sinnvoll, zumindest nicht als Dauerlösung. Besser wäre da ein Gerät, das sowieso 24/7 an ist und VPN-Funktionalität biete. Das wären zB einige Router, aber auch viele NAS. Ist beides nicht möglich bzw. vorhanden, kann man sich zB einen RaspBerry PI für ~35€ (+SD+Netzteil+Gehäuse = ~50€ Gesamt) kaufen und dort nach einer der Tausenden Anleitungen im Netz einen VPN-Server aufsetzen. Die Kiste verbraucht <5 W und ist daher vom Verbrauch her vernachlässigbar.

 

[chrigu]

was genau möchtest du machen? nur einzelne daten (video&foto&musik). oder dein pc, oder das gesamte heimnetz mit drucker usw.?
welchen hauptrouter?
welcher provider?

 

[Katrin2001]

Also, ich habe OpenVPN auf dem PC zuhause installiert und möchte ihn als VPN-Server einrichten.
Leider komme mit der Konfig-File nicht klar. Zuerst habe ich eine Config-File aus einem Tutorial verwendet und auch die key-File im Config-Ordner abgelegt:

remote MEINE.DDNS.DOMAIN.DE
dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key
comp -lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key

Das gibt dann folgende Fehlermeldung:
Options error: Unrecognized option or missing or extra parameter(s) in C:\Program Files\OpenVPN\config\server.ovpn:5: comp (2.4.1)

Mit der Sample-Config gibt es noch viel mehr Fehler

Mein Router ist eine Easybox der Vodafone.
Ich möchte mit einem Gerät meinem Heimnetzwerk beitreten.
Eigentlich bevorzuge ich eine RDP-Sitzung auf meinen Heimrechner, da ich nicht potentiell unsichere PCs in mein Heimnetzwerk eingliedern möchte Da ich aber auch gelesen habe, dass man eine RDP-Sitzung über VPN tunneln kann zur Steigerung der Sicherheit, wollte ich auch das mal ausprobieren.
Jetzt frage ich mich was das bringen soll: Wird der PC, vor dem man sitzt, per VPN in das Heim-LAN gehoben um dann eine LAN-RDP zu starten? Wenn dem so ist, wäre das wirklich ein Sicherheitsgewinn?

Aber ich will nicht abschweifen, sondern die Konfig startklar machen

 

[Raijin]

comp-lzo wird ohne Leerzeichen geschrieben.

Zudem ist die Config so wie du sie gepostet hast unvollständig. Die remote Anweisung ist beispielsweise eine Client-Anweisung, die nämlich das Verbindungsziel, den VPN-Server, beschreibt. Der Server selbst hat und braucht diese Anweisung nicht - er wartet ja nur auf eingehende Verbindungen.


So sieht eine Server.conf aus

# server.conf

# Protokoll und Port
port 1194
proto udp

#Art des Tunnels (tun/tap) sowie verwendeter Adapter (Windows only)
dev tap
dev-node DeinVPNAdapter

# Serverzertifikat
ca ca.crt
cert server.crt
key server.key

dh dh2048.pem

# Dies ist ein Server. Dieses Subnetz wird für das VPN benutzt
server 10.8.0.0 255.255.255.0


# Sende an deine VPN-Clients diese Route damit sie das LAN über VPN erreichen können
push "route 192.168.1.0 255.255.255.0"

# Diverses
keepalive 10 120
persist-key
persist-tun
comp-lzo
verb 3

# client.conf

# Ich bin ein Client und der Tunnel verwendet das UDP Protokoll
client
proto udp

# Clientzertifikat
ca ca.crt
cert client.crt
key client.key

# Verbinde mich mit diesem VPN-Server auf diesem Port
remote aaa.bbb.ccc.ddd port

# Diverses
nobind
reslv-retry infinite
persist-key
persist-tun
comp-lzo

# Sicherstellen, dass Zielzertifikat ist ein Server ist (kommt auf das server.crt an, optional aber empfohlen)
ns-cert-type server

Ich hoffe ich hab nix übersehen, hab das gerade 50/50 ausm Ärmel geschüttelt. Eine voll dokumentierte server.conf und client.conf findest du bei OpenVPN direkt auf der Seite bei HowTo, Examples oder so..

 

[Katrin2001]

Danke sehr, ich bin gerade dabei die Zertifikate anzufertigen.

Über ein Feedback zur Sicherheit würde ich mich freuen. ^^
Mal angenommen der Surf-Laptop einer Freundin wird ins LAN gehoben. Ist das besser als vom Surf-Laptop eine RDP übers WAN herzustellen? Beim letzteren werden ja nur Bild- und Peripherie-Daten übertragen.

 

[Raijin]

Also, grundsätzlich ist RDP zumindest schon mal verschlüsselt. Das heißt man könnte es auch ohne VPN Tunnel nutzen. Da ich aber ungern für RDP, FTP oder sonstige Dienste jeweils einzeln eine Portweiterleitung in mein Netzwerk einrichte, mache ich sowas grundsätzlich nur über VPN. Der Grund ist simpel: Ich habe gerade beispielhaft FTP erwähnt. FTP ist vollständig unverschlüsselt und überträgt sogar Logins in Klartext. Das heißt das Netzwerk ist nur so sicher wie der unsicherste Dienst, den man von außen erreichbar macht.

Soweit ich weiß kann man aber die Verschlüsselung bei RDP auch ändern und somit sicherer machen. Da bin ich aber überfragt, weil ich kein RDP nutze.

Ich kann dir aber nicht ganz folgen, wenn du von "Surf-Laptop einer Freundin wird ins LAN gehoben" sprichst. VPN verbindet zwei Geräte mit einem verschlüsselten virtuellen Netzwerkkabel über fremdverwaltete Netzwerke wie da Internet hinweg. Für einen Laptop im Hotel sieht es dann so aus als wenn er neben der WLAN-Verbindung zum Internet noch ein Kabel zu einem PC neben ihm hat. Wenn das Routing, etc. stimmt kann man darüber auch ganze Netzwerke miteinander verbinden, zum Beispiel bei Firmen mit mehreren Standorten.

Mach am besten mal eine kurze Skizze welches Gerät wo ist und über welche Verbindung du wie auf was zugreifen willst. Deine Beschreibung klingt nämlich danach als wenn du innerhalb eines Netzwerks ein VPN bauen willst?!?

 

[Katrin2001]

Eine Skizze lohnt nicht, weil das Setup sehr simpel ist:

Ich sitze an einem x-beliebigen Gerät außerhalb meines Heimnetzwerks (Arbeitsplatz-PC, Handy, Surf-Laptop einer Freundin).
Zuhause steht mein PC, auf den ich administrativen Zugriff haben möchte und außerdem ein NAS und der Heimrouter.
Der Router ist über DDNS erreichbar und leitet RDP an den Heimrechner weiter.

Meine Sicherheitsbedenken wären folgendermaßen:
Angenommen der x-beliebige PC ist virenverseucht mit zB einem Kryptolocker und ich trete über VPN dem Heimnetzwerk bei, dann würden sich die Viren dort wie auch immer ausbreiten können und der Kryptolocker verschlüsselt die Daten auf den Freigaben.
Mit RDP würde das nicht passieren.
Sehe ich das richtig?

 

[Raijin]

Jein. RDP und VPN sind grundsätzlich zwei Paar Schuhe. RDP ist ein Dienst bzw. eine Verbindung, während VPN ein Tunnel ist. Ich will jetzt nicht mit dem OSI Modell ankommen, aber es ist vergleichbar mit der Landschaft (Netzwerkinfrastruktur), einer Straße (VPN) und einem Auto (RDP). Der jeweils weiter unten liegenden Ebene ist es egal was über ihr passiert. Für eine Straße sind also alle Autos gleich, für die Landschaft sowieso. Straßen sind für die Landschaft auch uninteressant, weil sie einfach nur eine andere Oberfläche sind wie Wiesen, Wälder, Seen, etc..

RDP selbst besteht sogesehen nur aus Bedienungs- und Anzeigekommunikation, das stimmt schon. Schädlinge müsste bei einer reinen RDP-Verbindung also Sicherheitslücken im RDP-Protokoll ausnutzen können, sie müssen also im selben Auto sitzen und/oder ein bau- sowie farbgleiches Modell fahren, um bei der Verkehrskontrolle (Portweiterleitung, Firewall, etc) durchgewunken zu werden.

Bei VPN wiederum baut man eine Straße von A nach B. Auf dieser Straße können nicht nur RDP-Autos fahren, sondern auch alle anderen - auch der schwer bewaffnete Panzer aus Virustistan. Dafür gibt es aber auch wieder Firewalls. Die Firewall im Router ist ja nicht die einzige ihrer Art. Der Windows-Firewall kann man zB sagen "blocke alles was aus dem VPN kommt, aber erlaube RDP". In dem Falle hast du a) die Sicherheit der starken VPN-Verschlüsselung im www und b) ausschließlich RDP-Kommunikation zwischen VPN-Client und VPN-Server bzw. dem RDP-Server.

Wenn du dir aber ernsthaft Sorgen über den verseuchten PC deiner Freundin machst, solltest du evtl. über einen Boot-Stick nachdenken. Man kann zB ein kleines Linux auf einem USB-Stick installieren und dann bei Bedarf den PC damit starten. Viren vom Host-System bleiben dann außen vor, weil das eigentliche Betriebssystem ja gar nicht angefasst wird und das Linux weitestgehend nur im RAM läuft.