VPN Einrichtung

[groelemeier]

Ich würde gerne wissen was ich bei der Einrichtung eines VPN zu beachten habe und ob das mit meiner Hardware so wie ich mir das vorstelle überhaupt möglich ist. Es gibt zwar Unmengen Anleitungen aber je mehr man liest desto verwirrter ist man. Die Situation sieht so aus: Ich habe ein NAS, das per DDNS extern erreichbar sein soll. Alles hängt an einem Router (noch mit Stock-Firmware, aber DDWRT und OpenWRT-fähig) und der Router an einem Modem. Die Verbindung dahin soll dann verschlüsselt sein. Jetzt habe ich mir einiges zum Thema durchgelesen, es bleiben aber Fragen offen:

1. VPN lässt sich im Synology-NAS einrichten. Es lässt sich aber wohl auch im Router einrichten (über DDWRT). Letzteres erscheint mir wesentlich sinnvoller, da der Router ständig läuft, das NAS jedoch nicht (verbraucht ja auch mehr Strom). Wie sieht das mit Sicherheit und Geschwindigkeit aus, da ist die Routervariante auch besser oder?

2. Wird die VPN-Verbindung nur dann aufgebaut wenn ich extern auf mein NAS zugreife? Oder kann ich auch meinen gesamten Internetverkehr (also ab dem Router der hinter dem Modem hängt) auf diese Weise verschlüsseln. Und wenn ja, wie wirkt sich das auf die Geschwindigkeit aus? Oder kann man gar per "oneklick" irgendwie auswählen ob der Verkehr jetzt per VPN oder "normal" läuft?

3. Welche Art von VPN wähle ich? Nach dem was ich so gelesen habe wohl OpenVPN oder? Weiß jemand was man da beachten muss wenn man das auf DDWRT (oder zur Not auch OpenWRT) im Router einrichtet? Ist das überhaupt möglich in meiner Konstellation? Und welche Sicherheitsmethode verwende ich, sinnvoll ist wohl nur die Erstellung von eigenen Zertifikaten mit dieser GUI da? Das funktioniert mit DDWRT?

Ihr seht bei mir sind noch einige Lücken, aber ich möchte nicht auf irgendwelche Dienste oder Softwarelösungen zurück greifen und da Verantwortung/Kontrolle und Geld aus der Hand geben wenn man es auch selber machen kann. Außerdem wäre es in Zeiten von Totalüberwachung auch schön mal wieder "befreit" surfen zu können. Natürlich gibt es keine 100% Sicherheit, aber der Glaube, dass ich dann eine "sichere" verschlüsselte Verbindung nutze reicht mir in dem Fall schon.

 

[Lawnmower]

1. Kommt auf die Router CPU und NAS CPU an, aber im Normalfall wird der Upload bremsen der bei den meisten Consumer Abos sowiso mager ausfällt. Ausserdem kommt es auch auf die Verschlüsselungsstärke an - je stärker umso mehr arbeiten muss die Router CPU und die Bandbreite schrumpft.

2. Du kannst Dich einwählen z.B. mit einem VPN Client, mit dem OpenVPN Client macht man das manuell (wie früher bei Einwählverbindungen); der Verbindungsaufbau dauert dann einige Sekunden. Je nach Client Config wird dann jeglicher Internet-Verkehr von diesem Client über diese VPN Verbindung gehen (meistens der Fall) jedoch nur verschlüsselt zwischen dem Client und deinem Router.

3. OpenVPN ist sicherlich eine gute Idee.

Mit einer Fritzbox liesse sich so eine Konstellation am einfachsten einrichten weil dafür im Router alles vorhanden ist und es ein fixfertiger Client dafür gibt.

Außerdem wäre es in Zeiten von Totalüberwachung auch schön mal wieder "befreit" surfen zu können. Natürlich gibt es keine 100% Sicherheit, aber der Glaube, dass ich dann eine "sichere" verschlüsselte Verbindung nutze reicht mir in dem Fall schon.

das wird mit sowas nicht funktionieren weil die Verschlüsselung ausschliesslich zwischen dem VPN Client und deinem Router stattfindet.

 

[chrigu]

1. wenn du über router ein vpn machst, kann alles nach dem router erreicht werden. machst du es nur auf der synology erreichst du mit vpn nur die synology.
2. siehe 1. vpn am router=alles hinter dem router über im internet über vpn erreichbar.
3. open-vpn= gut: pptp = unsicher.

öhm, 4. befreit, überwachungsfrei surfen.... was genau meinst du damit? dass du von ausserhalb über dein vpn zu dir nach hause und dann wieder ins internet gehen willst? das geht nicht.

 

[Nafi]

zu 1: Router macht an sich mehr Sinn. Auf dem NAS wird es aber wahrscheinlich einfacher einzurichten sein.
zu 2: Wenn du vom unterwegs auf dein Nas zugreifen willst, musst/kannst du dich mit deinem VPN Verbinden. Die Verbindung zu deinem Nas ist dann verschlüsselt. Wenn du den gesamten Internetverkehr durch das Vpn über deine Internetleitung leitest, ist natürlich nur das stück von dir zu deinem Router Verschlüsselt. Alles nach dem Router ist dann weiterhin unverschlüsselt, wenn kein SSL oder ähnliches genutzt wird.

zu 3: OpenVPN macht schon Sinn. Allerdings musst du dann auf den mobilen Geräten die OpenVPN Software installieren. Alternativ gibt es auch bei Openwrt( Bei dd-wrt keine ahnung) die möglichkeit einen IPSec VPN einzurichten. Dieser wird meist ohne Zusatzsoftware unterstützt.
Ob es eine Gui gibt weiß ich auch nicht. Ich denke aber, um die Shell kommst du nicht drumrum.

 

[groelemeier]

Oh danke für die vielen Antworten!

zu 1) Upload habe ich gerade mal nachgesehen, sind wohl doch nur 2,5 mbit/s. Würde ich zur Not aber aufstocken (verdoppeln geht). CPU ist ein ARM-Chip im Nas, im Router weiß ich nicht. Aber ok Entscheidung gefallen, ich mache es auf dem Router.

zu 2) Der VPN Client ist mein jeweiliger Rechner (Notebook, PC, Smartphone etc. oder?). Da muss ich dann jeweils OpenVPN als Software installieren oder wie läuft das? (ok danke für die schnellen Antworten hat sich damit erledigt) Und mich dann über OpenVPN verbinden, d.h. dann ist es verschlüsselt. Nutze ich auf dem Client mal kein OpenVPN ist der Verkehr normal?

zu 3) OpenVPN wirds wohl ja, wenn das technisch bei mir geht und Sinn macht nehme ich das.

Zum Router: "Problem" ist, das der Router gerade neu gekauft wurde. Vor dem Kauf habe ich das mit VPN und DDWRT schon abgecheckt, daher habe ich mich so entschieden. Eine Fritzbox kommt jetzt eigentlich nicht mehr in Frage.

Also gehe ich so vor:
1. DDWRT flashen
2. DynDNS-Dienst einrichten im Router
3. OpenVPN einrichten im Router
4. OpenVPN einrichten auf den Clients

Korrekt?

edit:

@chrigu: Ich dachte das ist einer der Hauptvorteile vom VPN? Also das ich auch von unterwegs mich sozusagen nur mit meinem Router zu Hause verbinde und dieser dann eine verschlüsselte Verbindung zu meinem Rechner aufbaut und mir sozusagen sein Netz (also mein Internet zu Hause) zur Verfügung stellt? Ach so, unsicher wäre es nachdem der Upload von zu Hause erfolgt ist, wenn mein Modem die Daten ins Internet gibt sind die nicht mehr verschlüsselt? Aber wenn ich mit einem Client mit OpenVPN über mein Netz zu Hause surfe sind doch alle Übertragungen verschlüsselt?

@nafi: Es ginge also auch VPN ohne Software auf den Clients und leichter einzurichten? Dann aber weniger sicher?

Sry ich komme kaum hinterher bei den vielen schnellen Antworten.

 

[Nafi]

Wie gehe ich denn vor?
1. DDWRT flashen
2. DynDNS-Dienst einrichten im Router
3. OpenVPN einrichten im Router
4. OpenVPN einrichten auf den Clients

Korrekt?

ja.

 

[groelemeier]

Ok klingt gut, ich werde sicher ne Weile brauchen und hoffe das alles klappt. Mir war nur noch nicht so ganz klar ob/wo der Haken ist, aber scheinbar funktioniert das ja theoretisch doch so wie ich es mir vorgestellt habe. Melde mich wieder wenn ich weiter bin.

 

[Raijin]

öhm, 4. befreit, überwachungsfrei surfen.... was genau meinst du damit? dass du von ausserhalb über dein vpn zu dir nach hause und dann wieder ins internet gehen willst? das geht nicht.

Jein, geht schon. So mach ich das, wenn ich zB vom Büro aus in der Mittagspause privat surfe: OpenVPN Laptop--->HomeServer--->Internet. Ich sehe bei ping.eu also meine heimische public IP, nicht die vom Büro. Das hat mit "überwachungsfrei" aber nur bedingt etwas zu tun. Mein Arbeitgeber kann nicht sehen wo ich privat surfe, weil die Verbindung Büro --> Wohnung verschlüsselt ist. Dahinter, also Home-Provider ---> Internet ist in dem Falle nach wie vor offen lesbar, das ist klar..

@TE: Grundsätzlich sind das zwei Paar Schuhe. Wenn du von außen auf dein NAS zugreifen willst, dann ist der Datenverkehr Laptop-->Router bzw NAS verschlüsselt. Das hat jedoch nichts damit zu tun, dass du zB von der Couch aus anonym und verschlüsselt im Internet surfen kannst! Im NAS-Fall hast du ja einen VPN-Server in deinem Netzwerk, beim anonymen Couchsurfing wäre der VPN-Server bei einem Dienstleister (zB Cyberghost). Wenn du beides willst, sind das auch zwei separate VPN-Tunnel - einer geht rein, einer geht raus.

 

[groelemeier]

@Raijin
Ok danke, klingt logisch. Cyberghost hatte ich mal (notgedrungen) ausprobiert, funktionierte auch gut. Aber so eine Lösung ist imo auch nichts richtiges, kenn ich die Leute von Cyberghost und weiß was die machen oder nicht machen...? Gibt es keine Möglichkeit den ausgehenden Datenverkehr auch in "Eigenregie" bzw. per OpenVPN zu verschlüsseln?

Bin dran an dem Thema, aber atm macht sogar schon Schritt 1 Probeme. Liegt wohl an der Kombi Routersoftware und DDNS-Anbieter, ich hoffe ich finde da noch ne Lösung. Falls nicht ginge das evtl. doch übers NAS. Aber wenn man die DDNS Geschichte doch auf dem NAS einstellt (eigener Anbieter), muss das NAS dann wirklich permanent hochgefahren sein oder würde es sich im Bedarfsfall (Zugriff von Außen) aktivieren und dann halt als erstes als "DDNS-Server" hochfahren?

 

[Raijin]

Der Reihe nach:

Wie willst du ausgehenden Datenverkehr verschlüsseln ohne eine Gegenstation alias VPN-Server im Netz? Du kannst nicht einseitig verschlüsseln, sondern irgendwer muss das auch wieder entschlüsseln. Ausschließlich der Weg zwischen diesen beiden Stationen ist verschlüsselt. Ab dem VPN-Server im Netz ist der Traffic offen lesbar, weil zB computerbase.de gar nicht weiß mit welchem Algorithmus geschweige denn welchen Schlüsseln die Daten verschlüsselt wären. Dadurch dass ein VPN-Server meist von mehreren Clients genutzt wird (zB die Cyberghost-Server) wird jedoch hinter dem VPN eine gewisse Anonymität erzeugt, weil nicht erkennbar ist von welchem Cyberghost-Client die Daten kommen.
Willst du das in Eigenregie machen, dann geht das natürlich auch: Miete dir einen Server (zB bei 1&1), bastel dir da nen VPN-Server drauf und gut is. Hinter besagtem Server kann die NSA trotzdem noch mitlesen und weiß auch genau, dass die Daten von dir kommen, is ja dein Server

DDNS funktioniert so: Es wird eine URL aufgerufen, die als Parameter Benutzername, Passwort, Domain und optional eine IP-Adresse enthält. Mit diesen Informationen aktualisiert der DDNS-Anbieter den entsprechenden DNS-Eintrag der Domain mit der übergebenen IP oder falls keine angegeben wurde mit der IP von der die Anfrage kam. Das muss sogesehen nur einmalig je Interneteinwahl bzw je Änderung der öffentlichen IP geschehen. Bei mir erledigt mein Ubuntu-Server das, weil ich aktuell mehrere verschiedene DDNS nutze (fallback). In der Regel wird das dann so gemacht, dass alle x Minuten die öffentliche IP gecheckt wird und ggfs das Update ausgelöst wird. Wenn der Router - wie bei mir - nur bestimmte DDNS-Anbieter zulässt, dann kann man das natürlich auch auf ein NAS oder jedes andere Gerät im Netzwerk auslagern - eben auch ein Server. Das muss nicht zwangsläufig eine Riesenkiste sein, ein Raspberry PI für 35€ tut's auch.

Es empfiehlt sich dennoch, das 'DDNS-Gerät' immer angeschaltet zu lassen. Prinzipiell reicht zwar ein Update je Einwahl/IP-Änderung, aber zwischen Einwahl und DDNS-Update ist man nicht mehr über DDNS errichbar, weil da logischerweise noch die alte IP drinsteht..

Übrigens: Totale Sicherheit gibt es nicht. Natürlich kann Cyberghost mit deinen Daten sonstwas anstellen, aber das kann der Betreiber des Mietservers auch.. Und wie gesagt kann jemand, der zB bei computerbase.de in der Leitung hockt, munter mitlesen was du da so treibst - egal ob du irgendwo vorher für ein kleines Teilstück verschlüsselt hast oder nicht. Das wäre nur mit Punkt-zu-Punkt-Verschlüsselung möglich, weil da nur der eigentliche Empfänger die Daten entschlùsseln kann.. Ein gewisses Grundvertrauen bzw ein bewusster Umgang mit sensiblen Daten sind also so oder so unumgänglich. Ansonsten bleibt tatsächlich nur noch 'offline gehen' als einziger Ausweg, wenn man zu paranoid ist

 

[groelemeier]

@Raijin
Ich denke mit dieser OpenVPN-Geschichte und Installation auf Router und Clients kann ich so eine PunktzuPunkt-Geschichte realisieren? Also z.b. die Daten auf dem lokalen Nas werden auf diese Weise an z.b. an mein Latop irgendwo in einem öffentlichen Wlan übertragen? Weil die werden dann ja an meinem Router verschlüsselt nachdem sie vom Nas kommen. Erst dann gehen sie übers Moden "nach draußen" bis sie dann irgendwo z.B. an einem Router in einem Hotel mit Wlan ankommen, der sie dann, immer noch verschlüsselt, zu mir auf den Laptop schickt. Dort kann dann mein OpenVPN Client auf dem Laptop die Geschichte wieder entschlüsseln. Läuft das nicht so?

Wenn ich jetzt Daten von einem Rechner in meinem LAN hinterm Router abrufe (z.B. diese Internetseite aufrufe), dann kommen die natürlich nicht verschlüsselt an, das ist mir schon klar.

Aber nehmen wir an ich lade Daten (z.b. in einem Bürorechner) auf eine Festplatte in einen Container, verschlüssele die dann mit AES oder irgendwas, packe sie dann egal wie auf mein Nas und rufe sie per OpenVPN-Verschlüsselung von Punkt zu Punkt (z.b. so wie im obiger Konstellation) von irgendwann von irgendwo (zb beim Kunden oder im Urlaub) ab. Dann ist doch alles was da in dem Moment an Daten fließt verschlüsselt und mehr oder weniger nur von mir selbst zu entschlüsseln oder nicht?

In Sachen DDNS ist die Sache jetzt gelöst. Beim Provider gabs keine Url- und überhaupt unvollständige Angaben, aber mit ein bisschen Arbeit hat es dann geklappt und es kommt eine Erfolgsmeldung.

 

[sPeziFisH]

Du baust eigentlich nur einen abhörsicheren Tunnel zu Deinem Router/NAS auf. Das machst Du, weil Dein Router für Dich ein vertrauenswürdiges Netzwerk darstellt, so wie wenn Du von zuhause was damit machst. Ob man das gr. www jetzt als solches als vertrauenswürdig einstuft, ist die nächste Frage - auch hier kann man ja allerlei Methoden nutzen, um sicher mit den gewünschten Seiten, Servern, Diensten zu kommunizieren, sei es SSL, sei es eine weitere VPN-Klamotte, zB. .
Was Dein Router/NAS noch so alles kann und ob zB. einige Daten dann auch von weit weg über den Tunnel erreichbar oder ablegbar sein sollen, liegt in Deinen Händen - super praktisch wenn notwendig, bringt aber natürlich grundsätzlich etwas mehr Risiko mit sich, weil man einen weiteren Weg eröffnet, zulässt, dann auch von außen an die Daten zu kommen. Ohne Verschlüsselung ist das glaube ich alles Käse..

 

[Raijin]

Ich denke mit dieser OpenVPN-Geschichte und Installation auf Router und Clients kann ich so eine PunktzuPunkt-Geschichte realisieren? Also z.b. die Daten auf dem lokalen Nas werden auf diese Weise an z.b. an mein Latop irgendwo in einem öffentlichen Wlan übertragen?

Ja, Punkt A ist der Laptop im Hotel, Punkt B ist ein Gerät in deinem LAN. Die Verbindung Punkt A<->Punkt B wäre damit verschlüsselt und weitestgehend für niemanden zu entschlüsseln außer dir. Punkt B kann in dem Fall jedes Gerät innerhalb deines LANs sein, sei es der Router, das NAS selbst, ein alter Laptop/PC oder auch ein Raspberry PI. OpenVPN konfiguriert man dann so, dass man über den Tunnel zu Punkt B auch die anderen Geräte im LAN erreicht (NAS, Router, Switch, PCs, etc).

Erst dann gehen sie übers Moden "nach draußen" bis sie dann irgendwo z.B. an einem Router in einem Hotel mit Wlan ankommen, der sie dann, immer noch verschlüsselt, zu mir auf den Laptop schickt.

Jein, "nach draußen" bedeutet in dem Falle lediglich, dass auch über den VPN-Tunnel und somit verschlüsselt geantwortet wird, ja.

Aber nehmen wir an ich lade Daten (z.b. in einem Bürorechner) auf eine Festplatte in einen Container, verschlüssele die dann mit AES oder irgendwas, packe sie dann egal wie auf mein Nas und rufe sie per OpenVPN-Verschlüsselung von Punkt zu Punkt (z.b. so wie im obiger Konstellation) von irgendwann von irgendwo (zb beim Kunden oder im Urlaub) ab. Dann ist doch alles was da in dem Moment an Daten fließt verschlüsselt und mehr oder weniger nur von mir selbst zu entschlüsseln oder nicht?

Das verstehe ich jetzt nicht. Verschlüsselte Daten über eine verschlüsselte Leitung übertragen? Klar, das geht, aber ist doppelt gemoppelt wie es so schön heißt. Ein VPN verschlüsselt die Datenpakete, also quasi den kompletten Datenverkehr zwischen A und B. Da ist es unerheblich ob die Daten selbst nochmal verschlüsselt sind oder nicht. Ok, wenn jemand dein VPN knackt, könnte er die Daten darin entschlüsseln, hätte dann aber nur die verschlüsselte Containerdatei. Wie gesagt, doppelt gemoppelt..
Ganz platt ausgedrückt (aber nicht empfohlen): Wenn du im Büro einen VPN-Tunnel zu deinem heimischen Netzwerk aufbaust, dann kannst du theoretisch auch alle deine Passwörter in Klartext übertragen, weil jedes Datenpaket vom VPN-Adapter beim Verlassen des Laptops verschlüsselt und erst am Zielpunkt, beim Router/NAS/PI entschlüsselt wird. Der IT-Admin der Firma sieht also nur Kauderwelsch...




Unter Punkt 2 hast du aber im ersten Beitrag die Möglichkeit angesprochen, den kompletten Internetverkehr zu verschlüsseln. Das ist mit obigem Tunnel nur bedingt möglich, weil es ein VPN-Tunnel ist, den du VON nem Laptop ZU deinem Router aufbaust. Theoretisch könntest du dann den Traffic, den zB deine Familie daheim verursacht, für die Dauer der Verbindung über den Tunnel zu deinem Laptop und von dort ins Internet leiten, aber das ist vermutlich nicht das was du damit ausdrücken wolltest. Möchtest du daheim auf der Couch hocken und (halbwegs) verschlüsselt und anonymisiert im Internet surfen, dann wird dazu in der Regel ein VPN-Server im Internet benötigt, zu dem du von deinem Router aus verbindest (oder auch vom Laptop aus für Verschlüsselung des Laptops only). Das Procedere ist prinzipiell das gleiche wie oben, nur dass der Server nicht in deinem Netzwerk liegt, sondern im Internet. Entweder ein gemieteter Root-Server (was die Anonymisierung direkt wieder zunichte macht) oder ein VPN-Dienstleister wie zB Cyberghost. Willst du verschlüsselt/anonym surfen, baust du dann von der Couch aus einen VPN-Tunnel zu diesem Server/Dienst auf und der Datenverkehr ist von der Couch bis zu diesem Server verschlüsselt und hinter dem Server mehr oder weniger anonymisiert. Soll die Verschlüsselung/Anonymisierung für alle Geräte im Netzwerk gelten, muss der Tunnel entsprechend im Default Gateway (in der Regel der Router) aufgebaut werden damit sämtlicher Traffic darüber geleitet wird.

 

[groelemeier]

Ja, Punkt A ist der Laptop im Hotel, Punkt B ist ein Gerät in deinem LAN. Die Verbindung Punkt A<->Punkt B wäre damit verschlüsselt und weitestgehend für niemanden zu entschlüsseln außer dir. Punkt B kann in dem Fall jedes Gerät innerhalb deines LANs sein, sei es der Router, das NAS selbst, ein alter Laptop/PC oder auch ein Raspberry PI. OpenVPN konfiguriert man dann so, dass man über den Tunnel zu Punkt B auch die anderen Geräte im LAN erreicht (NAS, Router, Switch, PCs, etc).

Dann könnte ich also auch von irgendwo meinen Router konfigurieren? Das wäre nett, wobei ich hoffe das ich nach der ganzen Einrichtung da nicht mehr ständig ran muss. Wäre ja auch nur ein zusätzliches "Einfallstor".

Das verstehe ich jetzt nicht. Verschlüsselte Daten über eine verschlüsselte Leitung übertragen? Klar, das geht, aber ist doppelt gemoppelt wie es so schön heißt. Ein VPN verschlüsselt die Datenpakete, also quasi den kompletten Datenverkehr zwischen A und B. Da ist es unerheblich ob die Daten selbst nochmal verschlüsselt sind oder nicht. Ok, wenn jemand dein VPN knackt, könnte er die Daten darin entschlüsseln, hätte dann aber nur die verschlüsselte Containerdatei. Wie gesagt, doppelt gemoppelt..
Ganz platt ausgedrückt (aber nicht empfohlen): Wenn du im Büro einen VPN-Tunnel zu deinem heimischen Netzwerk aufbaust, dann kannst du theoretisch auch alle deine Passwörter in Klartext übertragen, weil jedes Datenpaket vom VPN-Adapter beim Verlassen des Laptops verschlüsselt und erst am Zielpunkt, beim Router/NAS/PI entschlüsselt wird. Der IT-Admin der Firma sieht also nur Kauderwelsch...

Das wollte ich nur für die paar GB Bürodateien machen. Hätte den netten Effekt, dass ich guten Gewissens zu mir und meinen Kunden sagen kann, deine Daten sind bei mir "sicher". Jedenfalls sicherer als bei den meisten meiner Kunden
Da die Bürodateien eh alle klein sind, sollte das Geschwindigkeitstechnisch auch funktionieren denke ich. Theoretisch dürfte dann doch nur während der Bearbeitung einer Datei, also z.B. in MS Office die Datei unverschlüsselt sein (also wenn ich daran arbeite, solange bis ich sie wieder im Container speichere. Die Cloudstation auf dem NAS sollte ja auch in der Lage sein verschlüsselte Dateien zu synchronisieren.

Unter Punkt 2 hast du aber im ersten Beitrag die Möglichkeit angesprochen, den kompletten Internetverkehr zu verschlüsseln. Das ist mit obigem Tunnel nur bedingt möglich, weil es ein VPN-Tunnel ist, den du VON nem Laptop ZU deinem Router aufbaust. Theoretisch könntest du dann den Traffic, den zB deine Familie daheim verursacht, für die Dauer der Verbindung über den Tunnel zu deinem Laptop und von dort ins Internet leiten, aber das ist vermutlich nicht das was du damit ausdrücken wolltest. Möchtest du daheim auf der Couch hocken und (halbwegs) verschlüsselt und anonymisiert im Internet surfen, dann wird dazu in der Regel ein VPN-Server im Internet benötigt, zu dem du von deinem Router aus verbindest (oder auch vom Laptop aus für Verschlüsselung des Laptops only). Das Procedere ist prinzipiell das gleiche wie oben, nur dass der Server nicht in deinem Netzwerk liegt, sondern im Internet. Entweder ein gemieteter Root-Server (was die Anonymisierung direkt wieder zunichte macht) oder ein VPN-Dienstleister wie zB Cyberghost. Willst du verschlüsselt/anonym surfen, baust du dann von der Couch aus einen VPN-Tunnel zu diesem Server/Dienst auf und der Datenverkehr ist von der Couch bis zu diesem Server verschlüsselt und hinter dem Server mehr oder weniger anonymisiert. Soll die Verschlüsselung/Anonymisierung für alle Geräte im Netzwerk gelten, muss der Tunnel entsprechend im Default Gateway (in der Regel der Router) aufgebaut werden damit sämtlicher Traffic darüber geleitet wird.

Hier fehlt mir irgendwie noch was. Mein Router kann also nicht die Funktion des z.B. Cyberghost-VPN-Servers übernehmen? Ach so, wahrscheinlich weil ja erst ab dem Router verschlüsselt würde, d.h. alles was vom Internet über mein Modem kommt ist bis dahin ja "Klartext". Daher muss ich die VPN-Verschlüsselung schon außerhalb des LAN haben, eben z.B. bei einem Cyberghostserver? Das heißt, wirklich verschlüsselt ist es nur in der Situation Laptop im Hotel baut über meinen Router im lokalen LAN eine Verbindung auf. Wenn ich aber am Rechner im LAN sitze ist da nichts verschlüsselt. Ok mir fehlte wohl irgendwie noch die klare Trennung LAN/Internet.

Ich bin mittlerweile etwas weiter gekommen, allerdings noch nicht so wie erhofft. Routerseitig denke ich sollte jetzt alles eingestellt sein (bis auf VPN), aber beim NAS gibts irgendwo noch einen Haken, ich kann von außen noch nicht zugreifen. Eigentlich dachte ich das ich alles über den Router regeln kann, aber im NAS selbst muss ich wohl auch noch Ports und Adressen definieren. Aber da gibt es ja Unmengen Anleitungen, ich hoffe ich komme vor meinem Urlaub noch etwas weiter.

 

[Raijin]

Dann könnte ich also auch von irgendwo meinen Router konfigurieren? Das wäre nett, wobei ich hoffe das ich nach der ganzen Einrichtung da nicht mehr ständig ran muss. Wäre ja auch nur ein zusätzliches "Einfallstor".

Ja, das ginge. Nein, das wäre kein 'Einfallstor', weil hinter dem VPN-Server in deinem LAN ja dein LAN kommt. Das Routerinterface ist also nach wie vor 'LAN-only' nur dass du via VPN quasi von außen in deinem LAN bist. Es gibt von außen nur eine einzige Tür (Port) und das ist das VPN.

Das wollte ich nur für die paar GB Bürodateien machen.

ok

Hier fehlt mir irgendwie noch was. Mein Router kann also nicht die Funktion des z.B. Cyberghost-VPN-Servers übernehmen?

Genau. Wenn du von 'innen' VPN zu deinem Router aufbaust, wäre auf der LAN-Strecke PC<=>Router verschlüsselt, dahinter Router<=>WWW nicht mehr.

Daher muss ich die VPN-Verschlüsselung schon außerhalb des LAN haben, eben z.B. bei einem Cyberghostserver?

Korrekt.

Routerseitig denke ich sollte jetzt alles eingestellt sein (bis auf VPN), aber beim NAS gibts irgendwo noch einen Haken, ich kann von außen noch nicht zugreifen.

Ohne VPN würde ich den Zugriff von außen auch nicht erlauben! Im üblichen VPN-Setup ist es so, dass von außen nur eine einzige Tür offen ist: Der VPN-Port. Der ist durch Zertifikate, etc zugangsgeschützt. Wenn man von außen per VPN verbunden ist, dann ist man quasi virtuell im eigenen LAN und kann zB auf das NAS, den Router und sogar den Drucker zugreifen. Ohne VPN kein NAS, kein Drucker - es sei denn man ist physikalisch im LAN, also auf der Couch