VPN

Jean-Jacques Sarton

Definition

Réseau / Netzwerk / Network
Verbindung zwischen mindestens 2 System, die es erlaubt auf unterschiedliche Resourcen zurückzugreigen.
Virtuel / Virtuell / Virtual
Simulierte Netzwerk Schnittstelle, das Transport Medium ist ein öffentliche Netzwerk.
Man kann auch ein VPN als Overlay (übergelagerten) Nertwerk bezeichnen
Privé / Privat / Privat
Von unbberechtigten uneinsehbar, impliziert Verschlüßelung.

Internet Verbindung

Internet Nachricht

Sender -> LL | IP | PROTOKOLL | Daten (vom Sender) | CS -> Empfänger

LL: Linklayer mit Mac Adresse des Empfänder und des Sender

IP: Quelle IP, Ziel IP

PROTOKOLL: TCP, UDP oder … inklusive Port Nummern

CS: Prüfsumme (Checksum), gehört zum Linklayer.

VPN Verbindung

VPN Nachricht

Sender -> VPN: -> LL | IP | PROTOKOLL | XX | LL | IP | PROTOKOLL | Daten | CS | CS -> VPN -> Empfänger

Daten: Daten vom Sender

XX: VPN-Protokoll Header (Wireguard, L2TP, …)

Layer 2 oder Layer 3

Layer 2
Volle Funktionalität
Layer 3
kein Multicast (mDns, LLMNR)
Kein Broadcast (DHCP)

Protokoll UDP oder TCP

UDP
Verbindungslos
Pakete können verloren gehen
Empfangsreihenfolge nicht garantiert
TCP
Verbindungsorientiert
Sender und Empfänger unterhalten sich
Pakete werden gegebenenfalls neu angefordert
Pakete werden in der richtige Reihenfolge gebracht

Protokoll XX über TCP, TCP XX UDP

TCP über TCP
Sicherungsmechanismen können auf beide Ebene zuschlagen
Es werden mehr Daten als nötig gesendet
Doppelgenäht hält nicht besser
TCP über UDP
TCP sorgt für der Feherbehandlung
UDP kann leichter Firewalls und NAT durchdringen
UDP über UDP
Wie eine normale UDP Verbindung (nicht mehr Fehlern)
Für Video oder Audio geeignet

VPN Einsatz

Kommerzielle Anbieter (meistens Geolokation, Anonymisierung).
Durchreichen des Internetverkehr über eine gesicherte Verbindung (öffentliche Hotspot).
Rechner zu Rechner Zugriff.
Rechner zu Site Zugriff.
Site zu Site Zugriff.

Kommerzielle Anbieter.

Zugriff auf Fernseh Programme, beispielsweise in den USA, …
Beispiele
- NordVPN
  Hide My Ass VPN (HMA)
  CyberGhost VPN
  ZenMate VPN
  ExpressVPN
  ProtronVPN
  usw.
  Sie sind eher als Proxy zu betrachten!
Tailscale (Client ist Opensource)

Open Source VPN Server/Client Software

Wenn ein VPN selbst gehostet wird, kommen frei zugänglich Open Source VPN in Frage.

ZeroTier
OpenVPN
strongSwan
openConnect (ssl)
SoftEther
tinc
Pritunl
badvpn
Wireguard basierte Lösungen (z.b. wiretrustee)
sshutle (ssh)
…

VPN-Tunnel Modus

Split VPN
Full VPN (Proxy Betrieb)

Komponente einem VPN

Virtuelle Netzwerk-Schnittstelle
Point2Point (vti, ipip)
Wireguard (wireguard)
Tap (ipvtap)
Gre (gre, gretap,ip6gre, ip6gretap)
Verschlüsselung
Routing Tabellen
NAT Regeln (Proxy Betrieb)
DNS-Konfiguration (Zugriff auf einzelne Geräte in Netzwerk)
Verbindungsaufbau Helfer (Firewall überwindung - Adresse ermitteln)

Verwaltung Server

Eigene Anschluss als Proxy Server.

Es funktioniert prinzipiell wie bei kommerzielle Anbieter, der VPN-Server
befindet sich im eigenen LAN oder ein gemieteten Server.
Die client reichen alle Daten zum VPN-Server über ein verschlüsselte Verbindung.
Damit kann der Traffic über ein Netz, wie beispielsweise Freifunk, verschlüsselt stattfinden.
Wenn der Aufenthalt im Ausland ist, kann auf die gewohnte Dienste zurückgegriffen (Geolokation) werden.

Rechner zu Rechner Zugriff.

Oder auch End to End verschlüsselte Kommunikation

Auf eine Rechner im LAN ist ein als Server dienenden VPN-Software installiert.
Der Client kann sich über das VPN Kanal mit den Rechner verbinden.

Rechner zu Site Zugriff.

Ein Rechner im LAN ist so konfiguriert, dass ein Zugriff auf alle Systeme des LANs möglich ist.

Site zu Site Zugriff

Zwei oder mehrere Netzte werden miteinander verbunden.
Rechner im Site 1 haben zugriff auf Ressourcen von Site 2 und auch umgekehrt.

Durchreichen des Internetverkehr über eine gesicherte Verbindung

Lokale IPv4-Adressen werden nicht im Internet weitergeleitet
Ein Virtuelle Server (im cloud) wird verwendet, IPv6-Adressen können nicht ohne weiteres geroutet werden.
Eine Adressen Umsetzung vom Tunnel Adresse zum LAN Adressen muss vorhanden sein (NAT).

Durchreichen des Internetverkehr über eine gesicherte Verbindung

Beispiel

iptables -A FORWARD -i tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Rechner zu Site VPN

Ohne Vorkehrung geht es nicht.
Route müssen im Router gesetzt werden
Forwarding muss auf der VPN Rechner im LAN gesetzt werden.

Site zu Site VPN

Voraussetzung

Die Adressenereiche in beiden LAN müssen unterschiedlich sein, Beipielsweise:
- LAN 1: 192.168.0.0/24
- LAN 2: 192.168.1.0/24
Beide Routen müssen in den Internet Router gesetzt sein.
- 192.168.1.0/23 (im Beispiel)
Beide Routen müssen auf den Rechner mit der VPN Software über das Tunnel Interface des VPN eingetragen werden. Siehe nächste Folie.

Site zu Site VPN

Beispiel

VPN-Rechner 1, Adresse 192.168.0.1, Interface eth0
               Adresse 10.0.0.1, Tunnel Interface tun0

route 192.168.0.0/24 über device eth0
route 10.0.0.0/24    über device tun0
route 192.168.1.0/24 über device tun0

VPN-Rechner 2, Adresse 192.168.1.1, Interface eth0
               Adresse 10.0.0.2, Tunnel Interface tun0

route 192.168.1.0/24 über device eth0
route 10.0.0.0/24    über device tun0
route 192.168.0.0/24 über device tun0

Routing Beispiel: Client zu Site mit externer Server

                                             +------------+
                                             | VPN Client |
                                             +------------+
                                                    | tun0 10.0.0.3      10.0.0.0/24 via 10.0.0.1 dev tun0
                                                    |                    198.168.1.0/24 via 10.0.0.1 dev tun0
                                                    | eth0 192.0.2.122   default via eth0
                                                    |
                   +--------------------------------+------------------------------+
                   |                                                               |
                Internet                                                      eth0 | 203.0.113.5  default via eth0
                   |                                                          tun0 | 10.0.0.1     10.0.0.0/24 via 10.0.0.2 dev tun0
                   | eth0  198.51.100.5                                            |              198.168.1.0/24 via 10.0.0.2 dev tun0
            +------------+                                                  +------------+
            |     CPE    |                                                  |    V-S     |
            +------------+                                                  +------------+
              eth1 | 192.168.1.1  default via eth0
                   |              192.168.1.0/24 via 192.168.1.1 dev eth1
                   |              10.0.0.0/24 via 192.168.1.2 dev eth1
                   |
          _________|_____________________ Segment 192.168.1.0/24______________________
         |                                                                            |
         |                                                                            |
    eth0 | 192.168.1.2    default via 192.168.1.1 dev eth0                       eth0 | 192.168.1.4
    tun0 |    10.0.0.2    10.0.0.0/24 via 10.0.0.1 dev tun0                     +------------+
   +------------+                                                               |     NAS    |
   |   VPN GW   |                                                               +------------+
   +------------+

tun0: Punkt zu Punkt Netzwerk Schnittstellen: 192.0.2.122 ←→ 203.0.113.5 und 192.168.1.2 ←→ 203.0.113.5

Site Routing

Routing Beispiel: Client zu Site ohne externer Server

            +------------+
            | VPN Client |
            +------------+
                   | tun0 10.0.0.2      10.0.0.0/24 via 10.0.0.1 dev tun0
                   |                    198.168.1.0/24 via 10.0.0.1 dev tun0
                   | eth0 192.0.2.122   default via eth0
                   |
                   |
                   |
                Internet
                   |
                   | eth0  198.51.100.5
            +------------+
            |     CPE    |
            +------------+
              eth1 | 192.168.1.1  default via eth0
                   |              192.168.1.0/24 via 192.168.1.1 dev eth1
                   |              10.0.0.0/24 via 192.168.1.2 dev eth1
                   |
          _________|_____________________ Segment 192.168.1.0/24______________________
         |                                                                            |
         |                                                                            |
    eth0 | 192.168.1.2    default via 192.168.1.1 dev eth0                       eth0 | 192.168.1.4
    tun0 |    10.0.0.1    10.0.0.0/24 via 10.0.0.1 dev tun0                     +------------+
   +------------+                                                               |     NAS    |
   |   VPN GW   |                                                               +------------+
   +------------+

tun0: Punkt zu Punkt Netzwerk Schnittstelle: 198.51.100.5 ←→ 192.0.2.122

Site Routing

Meine Fritz!Box bietet doch VPN an

Ja, aber …

IPv6 nicht unterstüzt
Kein Full-Tunnel Betrieb!
IP-Addressen Kollision vorprogrammiert!
Konfiguration eingeschränkt (DNS).

VPN und Daten-Transfer (Dateien, …)

Die Übertragungsrate ist abhängig von der Uploadrate des Heim-Anschluß und der latenz.

Desto geringer die Uploadrate desto geringer die übertragungsrate.

Eine VPN Verbindung kann viel höheren Latenz verursachen, damit sinkt, abhängig von der latenz, die maximal erreichbare Übertragungsrate.

Fragestunde

Danke

← →