VPN auf der Trutzbox einrichten

[landfrosch]

Guten Abend,

ich möchte gerne zusätzlich zum Schutz durch die Trutzbox eine VPN für alle Clients "hinter" der Trutzbox nutzen, z.b. PrivateVPN.
Ist es seitens der Trutzbox möglich solche Dienste nachzuinstallieren? Ist es also möglich einen L2TP- oder OpenVPN-Client zu nutzen?

Wenn ja, wie verhält es sich bei Comidio-Updates?

VG Marko

[comidio support]

Wir verstehen nicht so richtig was Sie genau vor haben. Wollen Sie einen VPN-Client auf der TrutzBox installieren und dann von der TrutzBox eine VPN-Verbindung zu einem öffentlichen VPN-Server aufbauen?

[landfrosch]

... ja, genau. Auf der Trutzbox soll ein VPN-Client laufen und eine Verbindung zu einem VPN-Server aufbauen.

[comidio support]

Wir raten dringend davon ab, von der TrutzBox aus eine Verbindung zu einem öffentlichen VPN-Server aufzubauen. Der Betreiber des VPN-Servers kann dann alle Ihre Verbindungen ins Internet "beobachten" und hat über diese Verbindung sogar Zugriff sowohl auf die sicheren Ports der TrutzBox, als auch auf alle Geräte, die am sicheren Netzwerk der TrutzBox angeschlossen sind.

Damit würden sämtliche Schutzfunktionen der TrutzBox umgangen und die TrutzBox wäre nicht nur nutzlos, sondern würde sogar den externen Netzwerk-Zugang zu Ihren Geräten unterstützen.

[landfrosch]

Vielen Dank für den Hinweis und die Erklärung .

Mit "öffentlichen VPN-Server" meinte ich keinen kostenlosen VPN-Server. Hier ist mir das Risiko des Datenmißbrauchs viel zu groß.

Die bestmögliche (aber nicht absolute) Sicherheit bieten natürlich nur kostenpflichtige VPN-Dienste. Wenn man dann noch die Anbieter nach bestimmten Kriterien auswählt (z.b. keine Logfiles, Killswitch, 2048-bit Verschlüsselung mit AES-256, IPv6 Leckschutz usw.) sollte doch aber das Schutzlevel für mich als Privatnutzer noch höher sein als wenn ich nur die Trutzbox nutzen würde.

[comidio support]

Leider nein.
Selbst VPN-Service-Provider, die schreiben, dass sie keine Log-Files schreiben, können in den meisten Ländern zur Herausgabe von Log-Files "verdonnert" werden und dürfen die Kunden darüber nicht informieren. Dabei ist es egal, ob es ein kostenloses oder ein bezahltes VPN-Gateway ist.

Die Stärke der VPN-Verschlüsselung ist bei der "Überwachung" des VPN-Providers nicht relevant. Die bestimmt lediglich, ob ein Dritter, der das Netzwerk zwischen der TrutzBox und dem VPN-Router des Providers anzapft, die Daten entschlüsseln könnte. Auf der VPN-Provider-Seite, kann der VPN-Provider immer die Meta-Daten mitlesen und hat auf Netzwerk-Ebene auch immer Zugriff auf die sicheren Interfaces der TrutzBox.

Um die Details besser zu verstehen, empfehlen wir die Lektüre von Kuketz:
https://www.kuketz-blog.de/anonymitaet- ... -anbieter/

[landfrosch]

... vielen Dank für die schnelle Antwort (wann ist bei ihnen eigentlich Feierabend ???). Ich werde noch mehr Infos zu diesem Thema zusammentragen (u.a. auch ihren Link-Tipp lesen) und dann nochmal über eine Nutzung von VPN nachdenken.

Aber auch wenn es immer noch Sicherheitsbedenken bzgl. VPN-Anbieter gibt, so erhöhen sie gegenüber einem normalen ISP die Sicherheit doch etwas, oder etwa nicht? Mein ISP in D bietet mir doch sehr wahrscheinlich weniger Sicherheit und Privatsphäre als ein VPN-Anbieter in Schweden (der z.b. keine Logdaten anlegt).

Ich habe die Problematik jetzt aber besser verstanden und werde das Für und Wider abwägen.

Vielen Dank nochmal für den tollen Support !!!

[comidio support]

Zu Ihrer Frage, ob durch eine VPN-Verbindung über einen externen Provider, sich die Sicherheit gegenüber einem normalen ISP doch etwas erhöht:

Wenn Sie über eine VPN-Verbindung einen Server im öffentlichen Internet kontaktieren, dann können Sie lediglich die Erkennung Ihrer eigenen IP-Adresse erschweren. Aber das leider nicht immer. Das Problem des Trackings, bei dem auf anwendungsebene Persönliche Daten und auch immer ihre wirkliche IP-Adresse kommuniziert wird, können Sie damit nicht verhindern.

Die beiden einzigen Anonymität-Verbesserungen, die Sie sie durch eine VPN-Verbindung erreichen, sind:

• dass der Server, den Sie darüber adressieren, auf Netzwerkebene evtl. nicht Ihre, sondern eine andere IP-Adresse als Absender "sieht". Das ist aber nur auf Netzwerkebene der Fall, die Anwendungen, die Sie über dieses Netzwerk fahren, liefern trotzdem Ihre echte IP-Adresse an den Server.

• dass ihr ISP evtl. nicht mehr "sieht" welchen Server sie über diese Verbindung ansteuern. Evtl. deswegen, da Sie dann auch sicher stellen müssten, dass ihr DNS-Provider, der evtl. derzeit ihr ISP ist, auch nicht sehen können darf, welche Domain-Namen Sie auflösen möchten.

Selbst wenn Sie letzten Punkt sicher stellen können, verlagern Sie mit einem dazwischen geschalteten VPN-Provider lediglich, dass alles das, was ihr ISP heute sehen kann, dann der VPN-Provider sieht. Es hängt somit davon ab, wem Sie mehr vertrauen, bzw. in welchem Landes-Gesetzen der jeweilige Provider untersteht.

Somit ist Tor immer noch die beste Möglichkeit die Erkennung Ihrer eigenen IP-Adresse erschweren.

Wir bleiben somit bei unserer Meinung, dass ein dazwischen geschalteter VPN-Provider, der vollen Netzwerkzugang auf ihr sicheres internes Netzwerk bekommt, die Sicherheit sogar reduziert.

[comidio support]

Und das hier kann dann auch immer mal wieder passieren:

VPN-Provider UFO VPN leakt Daten von mehreren Millionen Nutzern

Daten von bis zu 20 Mio. Nutzern von UFO VPN und sechs weiteren, verwandten VPN-Services standen offen im Netz. Passwortänderungen sind dringend zu empfehlen.

https://www.heise.de/news/VPN-Provider- ... link.link