Frage zu VPN

[Chasper]

Ich weiß es handelt sich hierbei um keine Mac bzw. Apple spezifische Frage, allerdings sind in diesem Forum doch auch einige Netzwerkexperten unterwegs, daher möchte ich meine Frage stellen.

Wir stehen kurz vor der Entscheidung einen VPN einzurichten.

Meine Fragen dazu wären:
Wie sicher/sicherer ist so eine Verbindung z.B.: in öffentlichen WLANs wie in Hotels oder Cafés?
Kann die Verbindung "abgehört" werden um bspw. Passwörter oder sonstige Daten zu klauen?

Leider bin ich in diesem Thema ein absoluter Neuling, daher meine Frage.
Ich freue mich auf Eure Antworten und bedanke mich im Voraus!

LG

 

[Marcel Bresink]

Wie sicher/sicherer ist so eine Verbindung z.B.: in öffentlichen WLANs wie in Hotels oder Cafés?

Die VPN-Technik wurde ja gerade für diesen Zweck gemacht: Du kannst damit in einem unsicheren Netz eine sichere Verbindung "nach Hause" aufbauen.

Kann die Verbindung "abgehört" werden um bspw. Passwörter oder sonstige Daten zu klauen?

Nein, der einzige Zweck eines VPN ist doch, eine abhörsichere Verbindung aufzubauen.

 

[SomeUser]

Moin!

Das muss man etwas differenzierter betrachten:
Ein VPN kann einerseits ein virtuelles Netz sein. D.h., du bringst z.B. deinen Mac unterwegs ins heimische Netzwerk und für alle Geräte erscheint es, als wären sie im gleichen lokalen Netz.
Ein VPN kann andererseits als Tunnel genutzt werden, wie es z.B. Anbieter wie NordVPN anbieten. Damit kannst du z.B. in China deinen Rechner anschmeißen, dich ins VPN einwählen und einen beliebigen "Ausgang" aus dem VPN wählen - d.h., deine Daten verlassen dann das VPN z.B. in den USA, Deutschland oder Brasilien (je nachdem, was der Anbieter so ermöglicht).

Bei der ersten Variante geht es regelmäßig darum, dass man "sicher" auf die Inhalte im heimischen Netzwerk zugreifen kann - oder z.B. auf das Firmennetzwerk. Letztlich ist es dann so, wenn du weiter auf das Internet zugreifst, gehen die Daten - wie in Variante 2 oben dargestellt - aus deinem lokalen Netzwerk weiter ins Internet.
Hier bist du natürlich für alles selbst verantwortlich: Schlechte, fehlerhafte, lückenhafte Konfiguration - schlimmstenfalls hast du kein VPN, sondern ein offenes Netzwerk nach außen. Sicherheitslücken, Administration, Fehlerbehebung... alles liegt in deiner Verantwortung. Zwar haben FritzBox und Co. viele Assistenzsysteme zur Einrichtung, aber es bleibt aus meiner Sicht beim alten Ratschlag: Wenn man davon keine Ahnung hat, sollte man sich entweder Rat suchen oder es sein lassen. Absolut *jeder* zusätzlicher Port nach Außen, stellt nun mal einen potenziellen Angriffsverktor dar. Das ganze ist nur so sicher, wie es eingerichtet ist und im laufenden Betrieb auch weiter sichergestellt ist, auf dem aktuellen Sicherheitsstand zu sein. Das "härteste" VPN bringt nichts, wenn aus Versehen parallel das Netzwerk generell nach außen hin geöffnet wird oder ein Passwort wie "123" gewählt wird.

Bei der zweiten Variante geht es regelmäßig eher darum, aus Ländern mit eingeschränkten/überwachten Internetzugriff "unbemerkt" ins Ausland zu kommen oder ggf. einen anderen Standort vorzutäuschen, beispielsweise um aufgrund der Geo-Lokalisation von Diensten günstigere Preise zu erhalten. Beispiel: YouTube-Premium kostet in der Türkei nur ein paar Euro, kann aber nur von einer türkischen IP aboniert werden. Oder: Bestimmte Netflix-Inhalte sind nur in bestimmten Ländern abrufbar, also könntest du einen Standort in den USA vortäuschen und damit die exklusiven US-Inhalte abrufen.

Was beide Varianten ein: Irgendwann verlassen deine Daten wieder das VPN. Egal, ob nun aus deinem heimischen Netz (Var. 1) oder dann z.B. aus dem Anbieter-VPN (Var. 2) und gehen ins "wilde Internet". Wenn du dann also ab dort eine unverschlüsselte Verbindung zu einer Webseite aufbaust, gehen die Daten ab dort auch unverschlüsselt hin und sind für jeden Netzwerpunkt, den deine Daten passieren, lesbar.

Du kannst also mit einer VPN-Verbindung nicht die Verbindung zu deinen E-Mail-Provider, deiner Bank, Amazon oder was auch immer absichern - dafür ist eine Verbindungssicherung zwischen deinem Rechner und dem Zielrechner notwendig. Das machen dann Protokolle wie HTTPS bzw. SSL/TSL/... Und die werden mittlerweile ja von den großen, wichtigen und selbst vielen kleineren Anbietern genutzt. Auch hier gilt natürlich wieder: Die Sicherheit ist davon abhängig, wie gut/schlecht es implemenitert wurde. Worauf du auf Nutzerseiten aber keinen Einfluss hast - du kannst Amazon ja nicht vorschreiben, welches Verfahren, in welcher "Härte" sie nutzen sollen, wie sie es implementieren sollen etc.

Das mal so als Abriss dazu. Die Frage ist also, was du eigentlich "absichern" willst - und dann bist du entsprechend bei Var. 1 oder Var. 2 und hast einen ersten Überblick über die Vor- und Nachteile.

Was habe ich vergessen? Bestimmt noch das ein odere andere - man möge ergänzen...

 

[Chasper]

Vielen Dank für die schnelle Rückmeldung.
Das hört sich doch schon einmal super an, danke dafür!

Gibt es da sonst noch etwas zu beachten?
Bevor die Verbindung mit dem VPN aufgebaut werden kann muss ich mich aber im öffentlichen WLAN anmelden, richtig?

Ich hätte geplant mittels VPN dann z.B.: auf meinen Computer zu Hause zuzugreifen, sodass ich unterwegs nicht immer sämtliche Daten "mitschleppen" muss.
Es handelt sich hierbei also nicht um einen VPN wie Nord-VPN sondern eher eine Art Tunnel nach Hause.
Das wäre dann auch in öffentlichen Netzwerken ohne größere Risiken möglich, richtig?

@SomeUser danke für die wirklich ausführliche Erklärung.
Wie bereits oben beschrieben handelt es sich eher um Variante 1, dass ich sicher auf das Heimnetzwerk zugreifen möchte.
Einen anderen Standort "vorzugaukeln" liegt momentan nicht in meinem Interesse, daher lassen wir Variante (aus meiner Sicht) einmal aussen vor.
Interessant sind deine Ansätze allenfalls, insbesonders durch diverse Restriktionen von Streaming Diensten (z.B.: im Ausland).
Hauptaugenmerk liegt aber an einer sicheren Verbindung "nach Hause".

Bezüglich Konfiguration:
Natürlich werde ich dies einem Profi überlassen, entsprechend auch Geld dafür bezahlen weil mir das selber viel zu heikel ist.
Bevor ich diesen Schritt allerdings wage wollte ich mich im generellen einmal darüber informieren, wie das gesamte Konstrukt "VPN" funktioniert und ob dies überhaupt meinen Anforderungen entspricht.

Mein Plan wäre wie folgt:
Ich bin beruflich in bestimmten Zeiten des Jahres viel unterwegs.
Ein Teil der Daten sind "zu Hause" gesichert, da ich diese weder verlieren noch rumschleppen möchte.
Da ich von unterwegs oft spontan auf diese Daten zugreifen muss und dies auch aus öffentlichen Netzwerken machen möchte kam mir die Idee mit dem VPN (früher habe ich das ausschließlich über den HotSpot des eigenen iPhones gemacht).
Da dies aber einige Gefahren birgt wollte ich nun eine zusätzliche Barriere einrichten.

Laut der Aussagen von Euch beiden sollte mein Grundgedanken des VPNs aber korrekt sein und es sollte möglich und vor allem auch sicher sein darüber eine Verbindung nach Hause aufzubauen.

Wie bereits erwähnt nochmals an Dich meine Frage:
Gibt es, neben der essentiellen Konfiguartion, noch wichtiges im Umgang mit einem VPN und einer sicheren Verbindung zu wissen?

Vielen Dank jedenfalls für die tolle Erklärung, jetzt bin ich schon deutlich schlauer!

LG
Chasper

 

[Insulaner]

Also vielleicht einmal von der Seite betrachtet, was man erreichen möchte:

Mit einer VPN-Verbindung von einem Endgerät zu einem zentralen VPN-Gateway wird eine
sichere verschlüsselte Datenverbindung über "unsichere" Netze zu diesem Gateway ermöglicht.

Wenn Du eine sichere Verbindung zu Deinem Firmennetz haben möchtest, steht diese Gateway
irgendwo bei dir im Firemnnetz.

Das bedeutet, dass Du Dich irgendwo im Internet einwählst und dann eben eine sichere Verbindung
zu Deinem "Firmennetz" herstellen kannst.

Allerdings solltest Du bedenken, dass der Rechner, mit dem Du die VPN-Verbindung aufbaust,
dann ein Teil Deines "schutzwürdigen Firmennetz" Netzes ist.

Das bedeutet, dass dieser Rechner auch sicher sein muss. Sollte da Malware drauf sein,
so kann über die VPN-Verbindung diese Malware auch in Dein "internes Netz" gelangen.

Daher sollte man die VPN-Verbindungen nicht direkt in das zentrale Netz terminieren, sondern
in einer DMZ (einer Zone, in der der Datenverkehr noch weiter untersucht werden kann).

Es gibt also einiges zu bedenken, je nachdem welche Anforderungen man hat.

Mein Plan wäre wie folgt:
Ich bin beruflich in bestimmten Zeiten des Jahres viel unterwegs.
Ein Teil der Daten sind "zu Hause" gesichert, da ich diese weder verlieren noch rumschleppen möchte.
Da ich von unterwegs oft spontan auf diese Daten zugreifen muss und dies auch aus öffentlichen Netzwerken machen möchte kam mir die Idee mit dem VPN (früher habe ich das ausschließlich über den HotSpot des eigenen iPhones gemacht).

Mit diesen Anforderungen würde ich mich mal mit private Cloud Lösungen beschäftigen.
Ich nutze z.B. die Cloudlösung von Synology.

 

[Scotch]

Bevor die Verbindung mit dem VPN aufgebaut werden kann muss ich mich aber im öffentlichen WLAN anmelden, richtig?

Richtig. Du meldest dich in einem öffentlichen (oder auch nicht öffentlichen) WLAN an und dann baust du über den VPN-Client eine verschlüsselte Verbindung zum VPN-Server auf. Darüber läuft dann der Netzwerkverkehr.

Das wäre dann auch in öffentlichen Netzwerken ohne größere Risiken möglich, richtig?

Ja. Wie @Marcel Bresink schon schrieb': Das ist der Standard-Anwendungsfall.

Natürlich werde ich dies einem Profi überlassen, entsprechend auch Geld dafür bezahlen weil mir das selber viel zu heikel ist.

Je nach Router ist es das tatsächlich nicht - z.B. haben die Fritzboxen einen sehr zugänglichen VPN-Server und sehr detaillierte Anleitungen wie die Clients zu konfigurieren sind. Andere SoHo-Router mögen das auch haben - würd' ich mal schauen. Für den Profi ist eher der Zugriff auf das eigene LAN ohne VPN 😉

Gibt es, neben der essentiellen Konfiguartion, noch wichtiges im Umgang mit einem VPN und einer sicheren Verbindung zu wissen?

Höchstens noch wenn möglich Wireguard als VPN-Protokoll zu wählen und wenn dein Router das nicht unterstützt ggf. einen neuen anzuschaffen, wenn das mit deinem ISP möglich ist. Da du das ja anscheinend regelmäßig nutzen wirst, dürfte das eine sinnvolle Investition sein. Spricht aber für einen privaten Nutzer auch nicht wirklich was gegen IPsec/L2TP.

Daher sollte man die VPN-Verbindungen nicht direkt in das zentrale Netz terminieren, sondern
in einer DMZ (einer Zone, in der der Datenverkehr noch weiter untersucht werden kann).

Versteh' ich nicht - wenn ich eine VPN-Verbindung aufbaue will ich doch gerade, dass der Rechner im eigenen Netz hängt. Ein VPN ist ja nun nichts anderes als ein virtuelles LAN-Kabel. Ich verstehe auch nicht das Gefahrenpotential: Der gleiche Rechner hängt ja zu Hause ansonsten auch ohne DMZ im Netz?! Dein Szenario ist völlig korrekt für den Aufbau von Verbindungen ins LAN ohne VPN. Deshalb ist es ja eine blöde Idee, mit einem SoHo-Router Portweiterleitungen zu nutzen, weil die für eine DMZ notwendige Netzsegmentierung mit diesen Geräten gar nicht möglich ist (Layer 8 kommt dann noch on top 😉).

 

[Chasper]

@Insulaner vielen Dank für Deinen Input.

Allerdings solltest Du bedenken, dass der Rechner, mit dem Du die VPN-Verbindung aufbaust,
dann ein Teil Deines "schutzwürdigen Firmennetz" Netzes ist.

Das bedeutet, dass dieser Rechner auch sicher sein muss. Sollte da Malware drauf sein,
so kann über die VPN-Verbindung diese Malware auch in Dein "internes Netz" gelangen.

In beiden Fällen sprichst Du z.B.: vom MacBook, über welches ich mich von unterwegs im VPN einlogge, richtig?
Somit könnte die Malware im schlimssten Fall über das Macbook z.B.: ins "Heimnetzwerk" oder "Firmennetzwerk" übergehen.

Daher sollte man die VPN-Verbindungen nicht direkt in das zentrale Netz terminieren, sondern
in einer DMZ (einer Zone, in der der Datenverkehr noch weiter untersucht werden kann).

Wie bereits erwähnt wird die Konfiguration jedenfalls von einem Profi durchgeführt.
Ich persönlich sehe mich da nicht drüber und möchte da auch nichts falsch machen.
Wichtig war mir nur eben ein Austausch, ob mein Plan Sinn ergibt oder dieser anderweitig "besser" gelöst wäre.

@Scotch vielen Dank für die ganzen Antwort zu meinen Fragen!
Hat mir wirklich sehr weitergeholfen!!

Wie bereits erwähnt überlasse ich die Konfiguration lieber einem Profi, das ist mir wirklich jeden Cent wert.

Höchstens noch wenn möglich Wireguard als VPN-Protokoll zu wählen und wenn dein Router das nicht unterstützt ggf. einen neuen anzuschaffen, wenn das mit deinem ISP möglich ist. Da du das ja anscheinend regelmäßig nutzen wirst, dürfte das eine sinnvolle Investition sein. Spricht aber für einen privaten Nutzer auch nicht wirklich was gegen IPsec/L2TP.

Wo liegt der Vorteil von "Wireguard" gegenüber von L2TP?
Da kenne ich mich leider nicht ganz aus, das müsste ich dann auch dem Techniker weiterleiten, ob das möglich ist.

Vielen Dank an alle für die wirklich hilfreichen Antworten!

 

[Scotch]

Somit könnte die Malware im schlimssten Fall über das Macbook z.B.: ins "Heimnetzwerk" oder "Firmennetzwerk" übergehen.

Ja - genau so, wie das auch passieren kann, wenn du den Rechner per LAN verbindest.

Aber Achtung: Wenn du dich auf dem gleichen Rechner mit Firma und deinem privaten Netz verbindest, dann wird der Firmenzugang mit ziemlicher Sicherheit auch über VPN erfolgen (ansonsten habt ihr ein echtes Sicherheitsproblem). Zwei parallele VPN-Verbindungen sind so ohne weiteres nicht möglich und werden garantiert für Ärger sorgen. Da musst du sicherstellen, dass immer nur eine VPN-Verbindung genutzt wird.

Da kenne ich mich leider nicht ganz aus

Dann guck' einfach, dass du Wireguard nutzt 😉 (Oder einlesen. Hier ist ein Start.)

 

[Insulaner]

Noch mal:
Mit Deinen Anforderungen würde ich mich mal mit private Cloud Lösungen beschäftigen.

Du möchtest nämlich eigentlich nicht mit Deinem Heimnetz verbunden werden, sondern
Du möchtest auf Daten, die in deinem Heimnetz gespeichert sind, zugreifen können.

Ich nutze z.B. die Cloudlösung von Synology und die funktioniert wunderbar für diesen Zweck.

 

[Chasper]

Ja - genau so, wie das auch passieren kann, wenn du den Rechner per LAN verbindest.

Aber Achtung: Wenn du dich auf dem gleichen Rechner mit Firma und deinem privaten Netz verbindest, dann wird der Firmenzugang mit ziemlicher Sicherheit auch über VPN erfolgen (ansonsten habt ihr ein echtes Sicherheitsproblem). Zwei parallele VPN-Verbindungen sind so ohne weiteres nicht möglich und werden garantiert für Ärger sorgen. Da musst du sicherstellen, dass immer nur eine VPN-Verbindung genutzt wird.


Dann guck' einfach, dass du Wireguard nutzt 😉 (Oder einlesen. Hier ist ein Start.)

Danke für die Information, ja das macht natürlich Sinn.

Bezüglich dem zweiten Punkt:
Das verstehe ich leider nicht ganz...
Du meinst wenn ich mit 2 Clienten (z.B.: Macbook und iPad) auf denselben Rechner zugreifen will oder wie?

Die Übersichtsseite ist sehr informativ, danke dafür!

Noch mal:
Mit Deinen Anforderungen würde ich mich mal mit private Cloud Lösungen beschäftigen.

Du möchtest nämlich eigentlich nicht mit Deinem Heimnetz verbunden werden, sondern
Du möchtest auf Daten, die in deinem Heimnetz gespeichert sind, zugreifen können.

Ich nutze z.B. die Cloudlösung von Synology und die funktioniert wunderbar für diesen Zweck.

Jaein, das ganze ist ein bisschen komplizierter, da auch die Software dazu im Heimnetzwerk liegt.
Cloudlösungen fällen daher leider raus, danke aber für den Ansatz!

 

[Marcel Bresink]

Ein VPN kann andererseits als Tunnel genutzt werden, wie es z.B. Anbieter wie NordVPN anbieten.

Ein VPN ist immer ein Tunnel. Wie gesagt wird ein verschlüsseltes Netz innerhalb eines unsicheren, unverschlüsselten Netzes aufgebaut.

Anbieter wie "NordVPN" tragen zwar den Begriff VPN im Namen, sind aber eigentlich Anonymisierungsdienste mit Proxy-Servern. Das VPN ist dort nur Beiwerk und wird als einfache Technik genutzt, um sich bei dem Anbieter "einzuwählen". Es hat mit der eigentlichen Dienstleistung so gut wie überhaupt nichts zu tun.

 

[SomeUser]

Ein VPN ist immer ein Tunnel. Wie gesagt wird ein verschlüsseltes Netz innerhalb eines unsicheren, unverschlüsselten Netzes aufgebaut.

Anbieter wie "NordVPN" tragen zwar den Begriff VPN im Namen, sind aber eigentlich Anonymisierungsdienste mit Proxy-Servern. Das VPN ist dort nur Beiwerk und wird als einfache Technik genutzt, um sich bei dem Anbieter "einzuwählen". Es hat mit der eigentlichen Dienstleistung so gut wie überhaupt nichts zu tun.

Ja, der Hinweis ist richtig. Da sich, bei der Suche nach dem hier genannten Oberbegriff "VPN", jedoch erst mal ein weites Feld verschiedenster VPN-Produkte findet, war es aus meiner Sicht erst mal notwendig, die verschiedenen Produkte aufzuzeigen und voneinander abzugrenzen.
Irgendwie erscheint es insofern in der Konseqenz albern, darauf hinzuweisen, dass ein VPN immer ein Tunnel ist, aber zugleich bei den Anonymisierungsdiensten darauf verweisen zu wollen, dass es dort "nur Beiwerk ist". Vollkommen unerheblich: Ein Messer ist ein Messer ist ein Messer - egal, ob ich es zum Brötchen schneiden, Brot schmieren oder als Tatwaffe nutze. Dass die Zielsetzung eine andere ist, ändert nichts an der Eigenschaft. Gleiches gilt sodann beim VPN, ob du es nun zum Beiwerk degradieren willst oder nicht.

 

[Scotch]

Du meinst wenn ich mit 2 Clienten (z.B.: Macbook und iPad) auf denselben Rechner zugreifen will oder wie?

Ein Rechner, zwei verschiedene VPNs (Firma & dein LAN).

 

[Chasper]

Ein Rechner, zwei verschiedene VPNs (Firma & dein LAN).

Ich glaube ich „sitze auf der Leitung“. 😅
Wie kommst du auf 2 VPNs?
Entweder bin ich lokal, sprich vor Ort, im Netzwerk oder ich logge mich über ein anderes Netzwerk mittels VPN im Heimnetz ein.
Verstehe ich da etwas falsch oder habe ich was übersehen?

 

[Wuchtbrumme]

Ja, der Hinweis ist richtig. Da sich, bei der Suche nach dem hier genannten Oberbegriff "VPN", jedoch erst mal ein weites Feld verschiedenster VPN-Produkte findet, war es aus meiner Sicht erst mal notwendig, die verschiedenen Produkte aufzuzeigen und voneinander abzugrenzen.
Irgendwie erscheint es insofern in der Konseqenz albern, darauf hinzuweisen, dass ein VPN immer ein Tunnel ist, aber zugleich bei den Anonymisierungsdiensten darauf verweisen zu wollen, dass es dort "nur Beiwerk ist". Vollkommen unerheblich: Ein Messer ist ein Messer ist ein Messer - egal, ob ich es zum Brötchen schneiden, Brot schmieren oder als Tatwaffe nutze. Dass die Zielsetzung eine andere ist, ändert nichts an der Eigenschaft. Gleiches gilt sodann beim VPN, ob du es nun zum Beiwerk degradieren willst oder nicht.

das ist technisch richtig, aber wie beim Messer als Tatwerkzeug macht es dann schon einen Unterschied. Ich fand Deine Zusammenfassung sehr gut und danke Dir. Der TE wird ja hoffentlich nicht so einen kommerzielles VPN aka Anonymisierungsdienst wählen, wo man dem Anbieter extrem trauen muss.

Ich persönlich schätze L2TP mit IPsec sehr und finde es für das, wofür ich das brauche (quasi als mobile Ausstülpung meines Heimnetzes), passend. Wireguard ist sehr interessant, erfüllt nicht komplett dasselbe, dafür ist es noch ein wenig flexibler und möglicherweise für mobil perfekter. Aber im Augenblick muss man noch berücksichtigen, dass iOS/macOS nur im OS integrierte VPN vollständig benutzen, z.B. die Verbindung herstellen - Wireguard wird nur per App connected und da scheint es Austastlücken zu geben.

 

[SomeUser]

das ist technisch richtig, aber wie beim Messer als Tatwerkzeug macht es dann schon einen Unterschied.

Nicht, wenn wir erst mal von "Messern" sprechen - und genau das ist ja hier eingangs passiert: Es ging um VPNs. Und wenn ich da einfach mal den Einstieg bei Google mache, ist - wenigstens bei mir - das erste Suchergebnis ein Link zum BSI und das zweite Suchergebnis ist dann auch schon NordVPN. Danach geht es dann u.a. zu Heise.de, um auf VPN-Anbieter (i.S.v. Variante 2/NordVPN in meinem Beitrag) zu verweisen.
Technisch ist es ebenfalls das gleiche - "nur" mit unterschiedlicher Intention des Einsatzes. Daher ist es, aus meiner Sicht halt eine Nebelkerze, wenn man darauf hinweist, dass es sich zwar jedenfalls um einen Tunnel handelt, man dann aber "irgendwie" doch eine Differenzierung machen will, dass das bei den Anonymisierungdiensten ja irgendwie doch nur Mittel zum Zweck ist.

Da will ich mich auch gar nicht streiten, ich halte den ersten Teil bzw. Satz von Marcel (=immer ein Tunnel) für richtig, ergänzend und habe dem auch zugestimmt. Nur beim zweiten Teil wird es keinen Konsens geben, denn egal wie man es dreht, es war, ist und bleibt ebenfalls eine Form von VPN, vollkommen unerheblich ob nun als Haupt- oder Nebenzweck. Da braucht es keine Diskussion, faktisch ist es schlicht so. Man kann es subjektiv für sich anders einordnen, relativieren oder was auch immer - aber das ändert nichts an den Tatsachen. Ich mag die Musik von D.Bohlen auch für doof halten, aber das ändert faktisch nun mal nichts am kommziellen Erfolg, der ist Fakt.

Aber, nur um das klar zu stellen: Das ist kein "Angriff" oder "böse Stimmung" gegen den Beitrag von Marcel; irgendwie habe ich den Eindruck, dass jedes klare Positionen bzw. Argumentieren gegen einen konkreten Beitrag in letzter Zeit sofort als Angriff gewertet wird. So will ich den Beitrag oben ausdrücklich nicht verstanden wissen, denn so war nicht die Intention. Solange der Ton etc. stimmt, sollte man sich *in der Sache* auch kritisch und konstruktur austauschen können.

Ich persönlich schätze L2TP mit IPsec sehr und finde es für das, wofür ich das brauche (quasi als mobile Ausstülpung meines Heimnetzes), passend. Wireguard ist sehr interessant, erfüllt nicht komplett dasselbe, dafür ist es noch ein wenig flexibler und möglicherweise für mobil perfekter. Aber im Augenblick muss man noch berücksichtigen, dass iOS/macOS nur im OS integrierte VPN vollständig benutzen, z.B. die Verbindung herstellen - Wireguard wird nur per App connected und da scheint es Austastlücken zu geben.

Jepp, mittlerweile ist ja die Intention genauer bekannt und man kann sich konkret über verschiedene Lösungen, Möglichkeiten und Risiken austauschen. Ob er das nun nachher selbst umsetzt oder sich einen Fachmann ins Haus holt, ist dann ja noch mal eine ganz andere Frage. Aber zumindest gab es schon mal eine Menge guten Input für den Thread-Ersteller.

 

[Scotch]

Entweder bin ich lokal, sprich vor Ort, im Netzwerk oder ich logge mich über ein anderes Netzwerk mittels VPN im Heimnetz ein.

Firmennetzwerk != dein privates Netzwerk

Du schriebst:

Somit könnte die Malware im schlimssten Fall über das Macbook z.B.: ins "Heimnetzwerk" oder "Firmennetzwerk" übergehen.

Du hast eine physikalische Verbindung ins (W)LAN. Der Tunnel darauf ist virtuell und der ins Firmennetzwerk ist ein anderer, als der in dein Heimnetz. Wenn du in deinem Heimnetz mittels VPN zu deiner Firma verbunden bist (z.B. Homeoffice), kannst du auf lokale Ressourcen im Heimnetz zugreifen (z.B. Drucker). Wenn du in einem "fremden" Netz bist, geht das nicht - da gilt "entweder oder" oder Probleme sind vorprogrammiert (mehrere VPN Tunnel parallel sind zwar technisch möglich, aber absolut nicht ratsam).

Wireguard wird nur per App connected und da scheint es Austastlücken zu geben.

Kommt auf die App an. Mein Stack ist von Ubiquiti ("Teleport") und den installiert die App systemweit - d.h. ich kann die Verbindungen wie jede andere VPN-Verbindungen in den Einstellungen konfigurieren, verbinden usw.

Der TE wird ja hoffentlich nicht so einen kommerzielles VPN aka Anonymisierungsdienst wählen

Ganz offensichtlich nicht, denn:

Es handelt sich hierbei also nicht um einen VPN wie Nord-VPN sondern eher eine Art Tunnel nach Hause.

 

[MacAlzenau]

Aber, nur um das klar zu stellen: Das ist ein "Angriff" oder "böse Stimmung" gegen den Beitrag von Marcel;

Da fehlt sicher ein k.

 

[SomeUser]

Da fehlt sicher ein k.

Besten Dank für den Hinweis, ist direkt korrigiert. War aber klar, wenn irgendwo ein Buchstabe verschluckt wird, dann quasi an der wichtigsten Stelle.

 

[El Cord]

Im Wlan auf der Arbeit verbinde ich mich immer mit meinem Fritz!Box VPN. Sind so dann meine Aktivitäten vor dem Arbeitgeber geschützt?