🌐 Crumbpage 16: VPN - Der Geheimgang

Subtitle: Sicher durch das unsichere Netz
Pfad: 16 von X
Schwierigkeit: ⭐⭐⭐ (3/5)
Zeit: ~2 Stunden
Voraussetzungen: Netzwerk Basics, SSH Basics

"Das Internet ist ein dunkler Wald. Ein VPN ist dein unsichtbarer Umhang." 🕵️‍♂️

📋 Was du in diesem Pfad lernst

✓ Konzept: Tunnel & Verschlüsselung
✓ Protokolle: OpenVPN, WireGuard, IPsec
✓ Praxis: OpenRouter & Config Files (.ovpn)
✓ Security: Split-Tunneling vs. Full-Tunneling
✓ Troubleshooting: Routing & MTU

🎯 Lernziele

Nach diesem Pfad kannst du:

  • [ ] Erklären, wie ein VPN deine Daten schützt
  • [ ] Eine .ovpn Datei verstehen und nutzen
  • [ ] Routing-Probleme im Tunnel diagnostizieren
  • [ ] Den Unterschied zwischen "Firmen-VPN" und "Privacy-VPN" verstehen

🌱 Grundkonzepte

Konzept 1: Der Tunnel

Stell dir vor, du schickst einen Brief (Datenpaket) durch eine gläserne Rohrpost (Internet). Jeder kann sehen, an wen er geht und was drin steht (Header & Payload).

Ein VPN (Virtual Private Network) ist wie ein gepanzertes Rohr innerhalb des gläsernen Rohrs.
1. Encapsulation: Dein Brief wird in einen neuen Umschlag gesteckt.
2. Encryption: Der Inhalt wird unlesbar gemacht.
3. Authentication: Nur Sender und Empfänger haben den Schlüssel.

Konzept 2: Protokolle

  • OpenVPN: Der Klassiker. Sehr flexibel, nutzt SSL/TLS (wie HTTPS). Läuft meist über UDP 1194 (oder TCP 443 um Firewalls zu umgehen). Stabil, aber etwas langsamer ("Context Switches").
  • WireGuard: Der neue Star. Extrem schnell, moderne Kryptographie, weniger Code (weniger Bugs). Läuft im Kernel-Space (Linus Torvalds approved).
  • IPsec/IKEv2: Der alte Enterprise-Standard. Oft native in OS integriert, aber komplex zu konfigurieren.

🔧 Praxis: OpenRouter VPN

In deinem Szenario ("OpenRouter") hast du spezielle Regeln und Zugriff auf verteilte Home-Verzeichnisse. Das klingt nach einem Site-to-Site oder Remote-Access Setup mit granularer Access Control.

Verbindung aufbauen (Linux Client)

Meistens bekommst du eine Konfigurationsdatei (client.ovpn oder wg0.conf).

OpenVPN (Terminal):

sudo openvpn --config mein-zugang.ovpn

Pro-Tipp: Starte es in tmux oder als Service, damit es nicht stirbt, wenn du das Terminal schließt.

NetworkManager (GUI):
1. Einstellungen -> Netzwerk
2. + (Hinzufügen) -> VPN -> Import from file...
3. Wähle die .ovpn Datei.

Routing & "Eigene Regeln"

Ein VPN kann zwei Modi haben:

  1. Full Tunnel (Redirect Gateway):
  2. Alles geht durch den Tunnel (Internet surfen, Spotify, Arbeit).
  3. Deine öffentliche IP ist die des VPN-Servers.
  4. Vorteil: Sicherheit im Café WLAN.

  5. Nachteil: Langsam, Netflix motzt evtl.

  6. Split Tunnel:

  7. Nur Traffic für spezifische Netze (z.B. 10.0.0.0/8 - das RZ) geht durch den Tunnel.
  8. Surfen geht weiterhin direkt über deinen Provider.
  9. Vorteil: Performance.
  10. Risiko: Wenn DNS nicht auch getunnelt wird -> DNS Leak!

🔍 Troubleshooting Checkliste

Wenn "nichts geht", obwohl der Tunnel steht:

  1. Ping durch den Tunnel?
    ping 10.10.x.1 (Gateway Adresse). Geht das nicht -> Tunnel kaputt.

  2. Routing Table prüfen:
    ip route show
    Siehst du Routen für das Zielnetz, die auf das tun0 Interface zeigen?

  3. DNS?
    Wenn ping 10.10.x.1 geht, aber ping fileserver.internal nicht -> DNS Problem!
    Nutzt du den internen DNS Server? (siehe crumbpage-15-dns.md)

  4. MTU (Maximum Transmission Unit):
    Manchmal ist das Paket inkl. VPN-Header zu groß für die Leitung.
    Symptom: Ping (klein) geht, SSH (groß) hängt.
    Fix: mssfix in OpenVPN Config.

🦉 Crystal Owl's Weisheit

"Ein VPN macht dich nicht anonym, es verschiebt nur das Vertrauen vom Café-Besitzer zum VPN-Betreiber."

Krümel-Tipp:
Wenn du im Homeoffice bist und auf einmal der Drucker nicht mehr geht -> Check ob du im "Full Tunnel" bist und dein lokales LAN nicht mehr erreichen darfst!

Version: 1.0
Status: Draft
Tags: #VPN #OpenVPN #Security #RemoteWork

Navigation:
← Zurück: DNS | Weiter: Workstation →