Während meiner vielen Reisen oder kurzen Lebensabschnitte über mehrere Monate im Ausland – insbesondere auf Bali – lernte ich mehr und mehr über IT und Sicherheit. Das beinhaltet viele Themen wie HDD Encryption, 2FA über mehrere Geräte, Ersatzhandy, Ersatz SIM Karte und der Möglichkeit eine neue Nummer zu erhalten oder meine vorhandene Nummer zu übernehmen, ID Austria, Backup Codes für diverse Logins, Cloud Backup, 3-2-1 Backup Strategie, Synology NAS Zugriff aus der Ferne und natürlich auch VPN Server.
Wie mache ich das also mit VPN und warum eigentlich?
Wenn ich das WLAN einer Unterkunft, eines Cafés oder eines Coworking Spaces hier auf Bali nutze, erhalte ich natürlich eine IP Adresse aus dem Ausland – in meinem Fall Indonesien. Das kann einerseits Zensur bedeuten, andererseits aber auch, dass manche Services der EU aus Sicherheitsgründen nicht erreichbar sind. Es gibt einige Möglichkeiten um das auf sicherem Weg zu lösen. Ich kenne dabei bestimmt nicht alle, aber habe für mich gute Möglichkeiten gefunden.
🔒 DIE EINFACHSTE VARIANTE IST NICHT IMMER AUSREICHEND
① VPN Service wie Surfshark, NordVPN, CyberGhost, PIA VPN, Mullvad VPN, etc.
Es gibt VPN Anbieter wie Sand am Meer, wenn man sich nicht stark damit beschäftigt macht es zu Beginn nur wenig Unterschied welche Services man verwendet. Erst wenn man seine Anforderungen kennt, wird es interessant die Details zu vergleichen z.B. Split Tunneling, Double VPN, fixe IP Adresse, Routerunterstützung, Kill Switch, uvm.
Mit einem VPN Anbieter wie z.B. Surfshark kann ich sehr einfach jedes beliebige Land auswählen und surfe vereinfacht gesagt innerhalb von Sekunden über die bereitgestellten Server in diesem Land.
Diese Methode hat auch einige Nachteile, u.a. sind die IP Adressen der großen VPN Anbieter bekannt und werden nicht überall toleriert. Das bedeutet trotz aktivem VPN, kann es sein dass manche Dienste nicht erreichbar sind.
🔒 EIGENER VPN SERVER ZU HAUSE
② Bei mir zu Hause läuft ein eigener VPN Router, welcher sowohl einen OpenVPN Server als auch einen WireGuard Server bereitstellt: Das bedeutet ich bin in der Lage mit einem VPN Client von überall aus der Welt meinen gesamten Traffic über mein zu Hause zu routen – es sieht so aus als wäre ich zu Hause. Auch hier gibt es unterschiedliche Möglichkeiten. Die Grundvoraussetzung ist es einen VPN Server zu Hause zu betreiben. Dieser kann beispielsweise über eine Synology NAS laufen oder eben über einen eigenen VPN Router. Ich habe mich für einen VPN Router entschieden und vertraue der Marke GL.iNet. Eine Lösung über ein Synology System ist möglich, Synology unterstützt meines Wissens aber bisher nur OpenVPN oder ältere Standards, und nicht das neue und schnellere WireGuard Protokoll. WireGuard muss nicht unbedingt besser sein, ich mag es einfach Optionen und Fallback Lösungen zu haben.
🅰 am einfachsten ist es einen VPN Client am MacBook zu installieren der sich mit dem VPN Server verbindet: Der VPN Client am MacBook modifiziert die Netzwerkeinstellungen an meinem Laptop. Dieser geht somit über den VPN Tunnel ins Netz. Eine schnelle Prüfung verschaffen Seiten wie https://whatismyipaddress.com/ um die eigene WAN IP Adresse inklusive Standort zu erfahren.
WireGuard Client: https://www.wireguard.com/install/
OpenVPN Client: https://openvpn.net/client/client-connect-vpn-for-windows/
🅱 eine fortgeschrittene Variante ist der Einsatz eines Travel Router mit integriertem OpenVPN oder WireGuard Client: Ich habe auch einen eigenen Travel Router mit auf Reisen, der mir erlaubt mein eigenes Netzwerk vor Ort aufzubauen. Diese Router sind so portable, sie können sogar von einer Powerbank aus der Tasche betrieben werden. In dem Fall verbindet sich mein MacBook und Android Phone nicht direkt mit dem WiFi vor Ort, sondern mit meinem eigenen privaten Netzwerk. Dieses wiederum ist per WiFi oder Kabel mit dem Internet vor Ort verbunden, aber leitet den gesamten Traffic über den VPN Tunnel der im VPN Client im Router konfiguriert ist weiter.
Die Variante B hat einen entscheidenden Vorteil, ist aber auch um einiges schwieriger einzurichten und man darf auch schon mit reduzierter Geschwindigkeit rechnen.
Der große Vorteil 🥁🥁🥁 ich bin auf diesem Weg in der Lage auf meinem MacBook einen weiteren VPN Client zu verwenden z.B. für die Verbindung zu einem Firmennetzwerk vor Ort in Österreich (da sprechen wir von VPN Verbindungen wie sie auch bei manchen im Home Office üblich ist). Das alles ist aus dem Grund relevant, weil Firmen häufig den Zugriff zum VPN nur für bestimmte Länder erlauben.
Auf meinem Laptop kann ich nicht zwei VPNs gleichzeitig betreiben, was aber öfters notwendig ist.
- VPN Verbindung 1 erstellt eine Verbindung nach Österreich her
- VPN Verbindung 2 erstellt eine Verbindung zum Firmennetzwerk in Österreich her, welche einen Zugriff nur von einer österreichischen IP Adresse erlaubt
Die Lösung ist eben eine VPN Verkettung über zwei Geräte. Geräte 1 (Travel Router) stellt die Verbindung 1 nach Österreich her. Gerät 2 (Laptop) stellt die Verbindung 2 zum Firmennetzwerk in Österreich her.
🔒 VPN CLIENT AM SMARTPHONE + HOTSPOT FÜR LAPTOP
③ Hotspot mit Surfshark VPN Service und Wi-Fi Sharing: Wenn die Lösung über einen eigenen Travel Router zu kompliziert ist, gibt es auch noch eine einfachere Lösung.
Diese einfache Lösung habe ich in der Vergangenheit genutzt und nutze ich manchmal nachwievor, wenn ich mich zu einem Firmennetzwerk in Österreich via VPN verbinden möchte, welches aber nur IP Adressen aus Österreich zulässt. Ich verbinde mein Handy mit einem VPN Service z.B. Surfshark. Gleichzeitig stelle ich einen Hotspot für meinen Laptop bereit. Mein Laptop ist somit indirekt über das VPN Service vom Smartphone verbunden und erhält z.B. eine IP Adresse aus Österreich. Dann wiederum kann ich einfach den VPN Client für das Firmennetzwerk starten z.B. Barracuda VPN Client um mich dann per Remote Desktop Verbindung direkt auf einen Rechner in der Firma zu verbinden.
Es gibt hier einen Nachteil (abgesehen vom Akkuverbrauch und der Hitzeentwicklung am Handy) – es werden die mobilen Daten verbraucht. Aber je nach Telefon gibt es Funktionen wie Wi-Fi Sharing die dann anstatt der mobilen Daten das Wi-Fi vor Ort im Hotspot weitergeben – via VPN wohlgemerkt.
Es gibt viele weitere Möglichkeiten und das Thema entwickelt sich wie alles andere auch in der IT und Tech Branche rasch voran. Wer auf einen eigenen VPN Server via VPN Router setzt, sollte auf jeden Fall auch noch dafür sorgen auf diesen VPN Router einen sicheren Remote Zugriff zu ermöglichen.
Remote Zugriff auf den VPN Router selbst
Wenn man einen VPN Router zu Hause betreibt, sollte man auch in der Lage sein auf den Router selbst zuzugreifen. Das ist einfach im Heimnetzwerk, aber etwas schwieriger (riskanter!) per Remote Zugriff.
Jeder der bereits Router konfiguriert hat, weiß dass der Moment kommen kann wo man die Verbindung verliert. Dann hilft nur mehr das gute, alte Netzwerkkabel.
Ich möchte weder die Administrationsoberfläche meines Routers frei im Internet verfügbar machen. Noch möchte ich das Risiko eingehen, dass sich meine mir zugewiesene WAN IP Adresse des Internet Service Providers zu Hause ändert, und ich dann keinen Zugriff mehr habe, weil ich schlicht die IP Adresse nicht mehr kenne (das könnte man mit Services wit DynDNS umgehen). Router generell bieten einen Remote Management Zugriff an, der standardmäßig berechtigterweise immer deaktiviert ist.
Um den Remote Zugriff zu meinem Router zu ermöglichen, setze ich zusätzlich noch das Remote IoT Gateway Management System von GoodCloud ein. Für mich eine Fallback Lösung ist um auch ohne VPN auf meinen Router zu Hause zugreifen zu können.
Diese Lösung habe ich jedoch noch nicht zu 100% getestet – sie funktioniert, aber trotzdem bin ich äußerst vorsichtig Einstellungen am Router zu Hause von der Ferne zu ändern. Das Firmware Upgrade des Routers wird somit besser erst zu Hause durchgeführt. Denn trotz aller Tunnels die ich aufbauen kann, ein Kabel zu legen von Bali nach Österreich wird mir so kurzfristig wohl nicht gelingen.
