SiD Ich befasse mich gerade zum ersten mal mit dem Thema VPN. Bei einem ich sage mal standard Hardwaresetup eines durchschnitts Privatanwenders (DSL -> Router -> Rechner) ist es ja meist so, dass man hinter dem Router, durch dessen meist vorhandenen Paketfilter / Firewall relativ sicher ist wenn man keine Portfreigaben ect. einrichtet. Wie ist das nun bei einer VPN Verbindung? Greift da der Paketfilter des Routers noch, oder wird über die VPN Verbindung alles reingelassen was der VPN Anbieter durchlässt? Müsste man dann noch auf dem lokalen Rechner einen Paketfilter / iptables ect. einrichten um so sicher wie bei einer normalen Verbindung zu sein?
Creshal Ja, das VPN umgeht den Router komplett, wenn er nicht gerade selber die VPN-Verbindung herstellt. 😉
anomander Der VPN-Tunnel Bedarf, nach meinem Verständnix, eigentlich keiner Absicherung - er ist ja dafür da, dass man ins Netzwerk kommt. Mal ein Beispiel: Hinter dem Router steht ein Rechner auf dem der VPN-Server läuft. Den Router muss man dann so konfigurieren, dass er alle Anfragen an den passenden Port (gem. Konfiguration VPN) an diesen Rechner weiterleitet. Wenn die Authentifizierung passt, dann hat man einen Tunnel vom externen Client zu dem Rechner auf dem der VPN-Server läuft und kann darauf zugreifen als wäre man im lokalen Netz. Aber das ist ja der Sinn des VPN - man bindet einen "mobilen Teilnehmer" in das lokale Netzwerk so ein, als wäre er vor Ort. Damit diese Einbindung zustande kommt muss er sich allerdings authentifizieren, wenn man das mit Zertifikaten macht ist das also schonmal recht sicher. Die Verbindung vom Client zum Server ist dann genauso offen, als wenn Du mit ihm im Heimnetzwerk unterwegs wärest. Die Absicherung besteht darin, dass man sich zum herstellen der Verbindung authentifizieren muss und die Ports nicht einfach "für alle" offen sind.
SiD Mir ging es eher um die andere Richtung, also ich verbinde mich von daheim mit einem VPN-Server irgend eines VPN Anbieters. Und bin dann quasi von da aus im Inet unterwegs. 😉
anomander Ok, also nutzt Du den Service eines Anbieters um mit VPN durch ein unsicheres Netz (z.B. offenes WLAN) zu tunneln, oder aber um mit einer anderen als deiner IP im Netz unterwegs zu sein. Da so ein Dienst speziell dazu dient, dass sich verschiedene Nutzer über eine IP nach draußen verbinden sollte, nach meinem Verständnis, in der Infrastruktur beim Anbieter auch sowas wie ein NAT werkeln, dass die Anfragen aus dem privaten (VPN)-Netz in die weiten des WWW vermittelt. Damit sollte dann die gleiche Sicherheit vorhanden sein wie mit einem üblichen Router zuhause. Ob es Anbieter/Anwendungsfälle gibt, bei denen das anderes gelöst ist (z.B. jeder VPN-Nutzer eine öffentliche IP nach außen unter der man ihn auch ansprechen kann) weiß ich nicht - klingt für mich aber nicht sehr wahrscheinlich und wenn überhaupt dann eher nach "Aufpreispflichtigem Extra-Feature". Aber wenn Du es ganz genau wissen willst mach doch einfach folgendes: - Finde die öffentliche IP raus unter der Du unterwegs bist, wenn Du über das VPN surfst - mach einen Portscan auf die IP 😉
SiD anomander schrieb Aber wenn Du es ganz genau wissen willst mach doch einfach folgendes: - Finde die öffentliche IP raus unter der Du unterwegs bist, wenn Du über das VPN surfst - mach einen Portscan auf die IP 😉 Die Idee hatte ich auch vorhin. 😉