Was ist ein VPN und wofür wird es benötigt

Fortsetzung der Diskussion von Experimente mit L2TP:

Im Rahmen eines Beitrags um L2TP entstand eine Diskussion um VPN im Allgemeinen. L2TP (Layer 2 Tunneling Protocol) ist eine von vielen Möglichkeiten um ein VPN herzustellen.

Falsch. Siehe dazu den Wikipedia-Artikel. Das VPN dass im Rahmen von Freifunk genutzt wird, wird von den Freifunk-Commuities zur Verfügung gestellt, und das auch nur, um eine direkte Kommunikation aller Teilnehmern zu ermöglichen.

das mag ja wohl so sein, eins darfst du nicht vergessen die xxvpn anbieter haben alle ihre vpns verschlüsselt wäre es nicht so,würde es keiner in anspruch nehen

Das stimmt nicht, das hängt davon ab wofür du den VPN verwenden willst.
Wenn du einfach nur einen anderen Exit brauchst (weil du, sagen wir mal den Geo-Geblockten BBC iPlayer nutzen möchtest) sehe ich keine Bedarf für Verschlüsselung.

Das ist bei Freifunk nicht anders. Das VPN ist ein Workaround für das Problem „Abmahnungen an Privatleute die ihr Netz teilen“. Freifunk ist kein Anonymisierungsnetzwerk.

Mich würde wie gesagt interessieren warum wir bei Freifunk konkret crypto auf der VPN Strecke brauchen.

Das ist leider nicht richtig.
VPN wird bei Konsumenten mit Verschlüsselung gleichgesetzt, weil sie/er diese so kennen.
Ein erheblicher Teil von VPN Verbindungen auf dieser Welt ist unverschlüsslt, z.b. PPPoX (DSL Anschlüsse), GRE, L2TP. Verschlüsselung kostet und wenn man sie nicht braucht lässt man es halt weg.
Komm vorbei, dann reden wir drüber :wink:

Habe mir erlaubt einige Beiträge in dieses neue Thema zu verschieben…

Es gibt viele Gründe, warum man ein VPN benötigt. Ein Grund dafür ist das man z.B. durch Verschlüsselung die Integrität (Daten werden nicht verändert) und die Vertraulichkeit (Inhalt kann nicht eingesehen werden) der Daten gewährleisten will/muss. Wenn man die Verschlüsselung nicht selbst übernimmt, benötigt man ein gewisses Vertrauen in den Anbieter. Aber, wie heißt es so schön in dem Artikel:

„Ganz so dramatisch sind die in der aktuellen Studie dargestellten Probleme aber wohl nicht, wenn man berücksichtigt, dass viele Nutzer VPN-Dienste wie etwa Hide My Ass dafür nutzen, um Regional-Sperren von Netflix und Co. zu umgehen.“

Freifunk gewährleistet als offenes Netzwerk an keiner Stelle Integrität und Vertraulichkeit der Daten. Aus diesem Grund wird häufig auf die Notwendigkeit einer Ende-zu-Ende Verschlüsselung hingewiesen. So beim Online-Banking mit SSL.

1 „Gefällt mir“

Wir nutzen keinen der typischen Consumer VPN Anbieter.
Wir werfen unseren Traffic via GRE Tunnel (die unverschlüsselt sind) bei Peering-Partnern ab.
Der aktuelle einzige ist Freifunk Rheinland, die Anbindung dort ist irgendwas jenseits von 20Gbit/sec.

wer einen vpn benutzt in jeglicher art und weise ob freifunk oder beruflich oder oder,sollte sich im klaren sein,wenn man es unverschlüsselt benutzt dann braucht man kein vpn. alles andere macht einfach keinen sinn.
ich weiss nicht welche anbindung hinter oder vor dem vpn steht? bzgl freifunk. mich würde mal interresieren welchen vpn anbieter wir nutzten und was hat der für eine anbindung

Die Beiträge sind durch das Verschieben leider in die falsche Reihenfolge geraten, bitte guckt auf den Zeitstempel rechts am Rand.

Virtual Private Network hat mit Verschlüsselung nix zu tun. Man kann es verschlüsseln, genau wie eine “normale” http Verbindung (die dann aber https heißt).
Meines wissens nach wird sowas z.B. dazu verwendet, eigene Netzwerkadressen usw. in einem anderen / öffentlichem Netz zu nutzen zu können; Verschlüsselung ist da nur optional und macht das private Netz nicht unsinnig.

Also ich muss sagen, dass mir auch der minimale Sicherheitsgewinn (der ISP kann nicht in meinen Freifunk-Traffic gucken) mir wichtiger ist als irgendein Geschwindigkeitsvorteil.
Ich weiß auch nicht, ob ich selber einen Knoten aufgestellt hätte, wenn die Verschlüsselung nicht aktiv wäre. Zwar ist mir bis jetzt kein Fall bekannt in welchem der Traffic ausgelesen wurde, um z.B. Piraterie zu verfolgen. Allerdings wo ein Weg und wo möglicher Gewinn zu machen ist, dort ist die Ausnutzung solch einer Sicherheitslücke wahrscheinlich nicht weit.

2 „Gefällt mir“

Diese Angst ist meiner Meinung nach technisch unbegründet. Ja, es gab illegale Abschöpfungen von Daten durch Umleitung dieser, z.B. beim RedTube-Skandal. Aber diese hat sich eben nachher auch als illegal herausgestellt, das Gericht musste seinen Fehler eingestehen und der Anwalt hat seine Zulassung verloren. Die Verschlüsselung ist nicht nötig, da das klassische Filesharing nicht mit Lauschangriffen überwacht wird, sondern dadurch, dass die Abmahnanwälte selbst die Datei z. B. per Torrent laden und dann die IP-Adresse, den Zeitpunkt und den Inhalt als Beweis speichern.

Dies ist nur meine persönliche Meinung, ich habe keinerlei juristische Qualifikation.

Der ISP darf nicht in deinen Traffic schauen und macht es daher auch nicht.

Wo ist die Sicherheitslücke? Die einzige Sorge des ISP ist, dass du deine Flatrate auch ausnutzt, weil das eine Mischkalkulation ist. Dass sie Personal vorhalten müssen um Information bei illegalem Filesharing liefern zu müssen finden sie sicherlich ärgerlich. Diese Informationen haben sie aber nicht weil sie aktiv nach suchen.

Für mich ist eine Sicherheitslücke so definiert, dass es irgendjemandem Einsicht in Daten oder Zugriff auf selbige bekommt, die ich nicht offen zugänglich haben möchte. (Oder natürlich (zerstörerischen) Systemzugriff). Genau dies trifft in diesem Fall zu. Ich weiß nicht und ich will nicht wissen, welche Seiten die Personen, die meinen Freifunk-Knoten nutzen, besuchen und mit wem sie kommunizieren. Dies kann mir auch solange egal sein, wie niemand anders diese Daten einsehen kann.
Wird allerdings die Verschlüsselung des VPN abgeschaltet, kann der ISP diese Daten einsehen. Ich bin außerdem der festen Überzeugung (genährt durch Snowden u.a.), dass wenn die Möglichkeit besteht, dies auch immer wieder ausgenutzt werden wird.
Mir ist dieses kleine Mehr an Sicherheit lieber als das Mehr an Geschwindigkeit.

Es ist kein „mehr an Sicherheit“, da dies nur ein Stück der Stecke ist.

Ja aber er darf es nicht, das unterliegt dem Fernmeldegeheimnis §88, §148 TKG

Cpt. Obvious: Wenn du Sicherheit willst, dann musst du ende-zu-ende verschlüsseln.

3 „Gefällt mir“

Naja, dass galt auch schon zu Zeiten von Holger Voss: https://de.wikipedia.org/wiki/Holger_Voss
Hat die Telekom trotzdem gemacht.
Der Provider könnte unter Umständen ja sogar nach §100 TKG argumentieren, dass eine Leistung erschlichen wurde und daher der Eingriff ein Fernmeldegeheimnis gerechtfertig war.
Und ich vermute, dass du auch weißt, dass auch bei einer Ende-zu-Ende-Verschlüsselung eine ganze Menge Metadaten anfallen. Dazu kommt auch noch: wieviel Prozent der verfügbaren Seiten (u. andere Dienste) bieten überhaupt eine Ende-zu-Ende-Verschlüsselung?
Ich kann aus dem Kontakt mit vielen, bei denen ich Knoten aufgestellt habe auch nur sagen, dass eine ganze Reihe (Volksbank, Stadt usw.) keine Knoten aufstellen würden und die bestehenden abbauen würden, wenn die Verschlüsselung wegfällt.

Der Holger Voss Vergleich hinkt, es geht um die Störerhaftung.
Was da das „Bedrohungszenario“ sein soll hat bis jetzt noch niemand erklärt.

Der Provider könnte unter Umständen ja sogar nach §100 TKG argumentieren, dass eine Leistung erschlichen wurde und daher der Eingriff ein Fernmeldegeheimnis gerechtfertig war.

Nein kann er nicht, da dies nicht in seinem Ermessen liegt.

Ich halte deine Aussage für FUD.

Hast du mit denen gesprochen?
Wenn ja, hast du sie korrekt informiert?
Was hast du denen erzählt was das Bedrohungsszenario für sie ist?
Störerhaftung?
Wie soll das funktionieren?

Werd’ doch mal konkret!

Gut. Dann dann frag da bitte nochmal nach. Inklusive folgenden Hinweisen:

  • das WLAN ist unverschlüsselt. Jede Kommunikation kann einfach mit-geschnitten und später analysiert werden. Für das mit-schneiden des Datenverkehrs gibt es überall schöne Anleitungen, da das zum Handwerkswerkzeug eines Netzwerk-Verwalters gehören muss. Sehr übersichtlich z.B. diese

  • alle Daten, die aktuell verschlüsselt über die fastd-Tunnel transportiert werden, fallen bis auf eine Ausnahme auch an den Ethernet-Ports der Hosting-Provider an: unverschlüsselt bei Übergang ins Internet. Die Ausnahme ist: Verkehr, der über den VPN-Server direkt zu einem anderen Knoten ebenfalls verschlüsselt übertragen wird.

  • für den Fall, dass der Internet-Service-Provider über den der Knoten angeschlossen ist, an dem Nachweis der rechtswidrige Inanspruchnahme seiner Dienste interessiert ist, reicht der Nachweis, dass die Pakete zu einem VPN-Server geleitet werden. Der Inhalt der Pakete ist irrelevant, denn das reicht als Anhaltspunkt den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten zu begründen.

Ich versuch’s mal konkret:

Fall A:
Nehmen wir an Rüdiger hat einen Internetanschluss.
Und biete über diesen urheberrechtlich geschütze Werke über das Internet an (“File Sharing”) ohne die entsprechenden Rechte zu besitzen.
Wie oft in den letzten 100 Jahren hat dies ein der Access-Provider von der Rüdigers in Deutschland selbstständig festgestellt und dem Rechteinhaber mitgeteilt?

Antwort: __ mal :wink: