VPN-Tunnel

[francy_space]

Hallo, ich habe mal eine rein technische Frage. Angenommen ich sitze in der Bahn und wähle mich per VPN in das heimische Netz ein. Es läuft ja dann so ab, dass der Bahnrouter (Tunnelanfang) das von meinem Smartphone erstellte IP-Paket in ein Paket umkapselt, dass im Internet verschlüsselt zu meinem Heimrouter (Tunnelende) gelangt. Dieser entkapselt das Paket und leitet das Paket über den VPN-Server an das entsprechende Endgerät weiter.

Derjenige, der den Router an der Bahn konfiguriert, könnte doch über eine Software wie pfSense solche Verschlüsselunganfragen deaktivieren, sodass ich keine VPN-Verbindung aufbauen kann, oder? Das heißt, das IP-Paket würde dann nicht verschlüsselt werden, und es würde im WAN transparent sein.

 

[InFlame]

Morgen,

ein End-to-Site VPN wird vom Endgerät (Handy / Laptop) bis hin zu deinem Router aufgespannt. Die Bahn kann dort keinen EInfluss (außer vllt Blockieren) nehmen.

MfG

 

[francy_space]

Hi, bei einer Site-to-Site VPN würde die Verbindung aber über den Bahnrouter gehen. Das macht aber keinen Sinn für den Anwendungsfall. Vielen Dank.

 

[InFlame]

ÜBER den Bahn-Router heißt nicht, dass er Einfluss auf den VPN nehmen oder Sicherheitsmechanismen deaktivieren kann.

Solange der Bahn-Router nicht der VPN-Endpunkt (I.d.R. ein von dir konfiguriertes Gerät) ist kannst du bedenkenlos den VPN-Tunnel Nutzen, sofern die Qualität / Stärke der Verschlüsselung passt.

 

[Raijin]

Derjenige, der den Router an der Bahn konfiguriert, könnte doch über eine Software wie pfSense solche Verschlüsselunganfragen deaktivieren, sodass ich keine VPN-Verbindung aufbauen kann, oder?

Das sind zwei Paar Schuhe.

Die Verschlüsselung erfolgt durch den VPN-Client auf deinem PC, der das verschlüsselte Paket dann kapselt und als "normales" Paket über das Internet schickt. Die Zwischenstationen auf dem Weg zum heimischen Router sehen nur ein normales IP-Paket, dessen Inhalt aber aus Algengrütze besteht, weil verschlüsselt. Da kann niemand reingucken, der nicht in irgendeiner Form an die Keys der Verschlüsselung gekommen ist oder entsprechend viel Rechenpower hat, um die Verschlüsselung zu brechen.

Der Admin des Routers kann aber in der Tat den Verbindungsaufbau verhindern, indem er die Verbindung blockiert. Dies kann zB auf Basis des Ziel-Ports passieren. Wenn an dem Hotspot beispielsweise nur http bzw. https erlaubt ist, dann wird alles geblockt was als Zielport nicht TCP 80 / 443 hat, inkl. einer VPN-Verbindung die zB auf UDP 1194 läuft.

 

[francy_space]

Vielen Dank. Nich der Bahnrouter kapselt das vom VPN-Client erstellte IP-Paket, sondern der VPN-Client tut dies selber im zweiten Schritt,.

 

[InFlame]

Für weitere Infos kannst du auch nochmal hier rein schauen:
VPN - Virtual Private Network (Virtuelles Privates Netzwerk) (elektronik-kompendium.de)
RAS - Remote Access Service (elektronik-kompendium.de)

im E-K ist das meist sehr anschaulich erklärt.

 

[Raijin]

So sieht es aus. Streng genommen ist es sogar der Treiber des virtuellen Netzwerkadapters, den der VPN-Client erstellt, was dann natürlich wiederum die eigentliche VPN-Software ist

Für andere Anwendungen ist das VPN nämlich gänzlich transparent, eine stinknormale Netzwerk-Schnittstelle, an die stinknormale, ggfs unverschlüsselte Datenpakete (zB http) übergeben werden. Der Treiber wiederum verschlüsselt diese Pakete dann bevor er sie seinerseits an die physische Schnittstelle übergibt, die die Pakete dann wiederum tatsächlich abschickt.

Der Prozess läuft also in etwa so ab:

Anwendung ---Datenpaket---> VPN-Adapter ---Datenpaket--> Treiber/VPN-Software --VPNpaket--> HW-Schnittstelle --VPNpaket--> www