[Problem] VPN-Absicherung im Wohnheim

hitzumirt

Neuer User
Mitglied seit
2 Sep 2018
Beiträge
35
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich würde mich gerne an ein neues Projekt machen:
Ein Studentenwohnheim stellt kostenfrei einen WLAN-Zugang zur Verfügung. Es soll ausgeschlossen werden, dass der Betreiber des Wohnheimes den Datenverkehr mitlesen kann. Zu diesem Zweck wird eine VPN-Verbindung mit dem Elterlichen DSL-Anschluss hergestellt, über welchen der gesamte Datenverkehr fließen soll. Besteht kein VPN, ist kein Internetzugang möglich.

Sowohl im Zimmer des Wohnheimes, als auch bei den Eltern steht eine FritzBox zur Verfügung.

Wie könnte das am besten gelöst werden? Vorschläge herzlich erwünscht! :)
 
Moinsen


Mehr Infos wären gut.
Denn das FRITZ!Box VPN benötigt beispielsweise eine erreichbare IPv4 von Internetseite.
Außerdem ist der "Betreiber" schon im LAN.
Das macht es noch komplizierter ( 2. Router und Doppel NAT ).
Denn wer sich am Ende einer Ende zu Ende Verschlüsselung befindet, der braucht auch nichts mehr entschlüsseln.
...so funktioniert auch ein: Bundes-, oder Staatstrojaner
 
Der elterliche DSL-Anschluss verfügt über eine erreichbare IPv4 Adresse. Der im Wohnheim mit Sicherheit nicht.
Edit: Meine Hoffnung war, das der eingebaute IPSEC-Client ausreicht. Wenn nicht, wären aber ausreichend Kenntnisse da, um sich ein Freetz zu bauen. Allerdings weiß ich nicht, welche genauen Pakete für dieses Ziel benötigt werden.
 
Mein Gefühl sagt mir...
...und "Sicherheit" ist auch nur ein Gefühl.
 
Ich meine die von AVM in die FritzBox eingebaute VPN-Funktion, mit welcher eine LAN-LAN-Koppelung hergestellt werden kann.
Meines Wissens handelt es sich darum um reines Cisco-IPSEC.
 
Mit einer öffentlich erreichbaren IPv4-Adresse an der elterlichen Fritzbox hast du zumindest reelle Chancen auf ein funktionierendes IKEv1-VPN nach AVM-Art.
Auf jeden Fall würde ich das vorab per Smartphone testen, ob das Wohnheim-Netz da irgendwelche Steine in den Weg legt, wie Sperren für die UDP-Ports 500 und 5000.
 
@hitzumirt
Hast du dir als Alternative auch schon mal Lösungen wie z.B. CyberGhost angeschaut? Gut, das kostet was, aber es geht (~40€/Jahr).
Die besitzen viele Zugangspunkte in Deutschland, aber auch in vielen anderen Ländern, die man einfach aus einer Liste auswählen kann.
Wählt man z.B. einen in Österreich, kann man z.B. auch Formel 1 schauen. ;)
 
Das AVM-VPN reicht dafür aus, mit passender Box (einem Modell, welches auch über WLAN den Internet-Zugang herstellen kann), braucht es nicht mal einen passenden Ethernet-Anschluß. Allerdings sollte das im Wohnheim vorhandene/angebotene Netz dann ohne Portalseiten und/oder -anmeldungen arbeiten, denn deren "Bedienung" mit einer FRITZ!Box ist schwierig. Zwar auch nicht direkt unmöglich (mit Modifikationen der Firmware), aber es gibt - soweit ich weiß - keine fertigen Pakete in Freetz(-NG).

EDIT: And by the way - das VPN nutzt UDP-Port 500 und GRE ESP (was kein portbasiertes Protokoll ist und daher auch keine Portnummern verwendet) oder UDP-Port 4500, wenn es um NAT-Traversal geht, was bei einem Wohnheim mit einen zentralen Edge-Router "am Internet" wahrscheinlich ohnehin notwendig sein wird.

EDIT2: GRE ist natürlich Unfug - ich meinte ESP.
 
Zuletzt bearbeitet:
Ich versuche es mal. Es stehen 2 7490er zur Verfügung.
Einem VPN-Provider wie z.B. CyberGhost vertraue ich noch weniger als dem Betreiber des Wohnheims. Außerdem besteht das Problem, dass es mit bestimmten Geräten wie z.B. einem SmartTV oder einer PlayStation nicht so einfach geht mit dem VPN.
Klar, die Latenz steigt auf ca. 40-50ms. Das ist es mir aber wert, waren zu ADSL1 Zeiten auch normal.
 
Hinzu kommt, dass je nach Upstream-Rate des elterlichen DSL-Anschlusses die Datenübertragungsrate per VPN auch begrenzt sein kann wie zu ADSL1-Zeiten.
 
VDSL100 = 40 Mbit/s upload. Für mich ausreichend, wenn es das WLAN vom Wohnheim überhaupt packt!
 
Der elterliche DSL-Anschluss verfügt über eine erreichbare IPv4 Adresse. ...
Du könntest an der FritzBox des elterlichen DSL-Anschlusses auch einen PI4 anschließen und WireGuard für das VPN benutzen. Evtl. warten bis das 64bit-bullseye (als OS für den PI4 kommt) kommt. FreeBSD-13.0 oder OpenBSD-7.0 kannst Du auch als OS, auf einem PI4 installieren.
 
Also ich habe das mal getestet und komme nur auf ca. 6 Mbit/s. Das ist viel zu wenig, leider.
 
Das sollte es dir aber wert sein, diese Datenübertragungsraten waren zu ADSL1 Zeiten doch auch normal.
Ansonsten kannst du ja immer noch auf zwei Fritzboxen 7560/80/90 wechseln.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.