AA_PO-22634-123rf-Maxim_Kazmin.jpg

© Maxim Kazmin, 123rf.com

Sichere Datenautobahn

Sichere Verbindung zwischen Smartphone und Heimserver per VPN

16.11.2011
Wer mit seinem Smartphone über das unsichere Internet eine sichere Verbindung zum eigenen Heimnetz aufbauen möchte, der baut in wenigen Schritten einen VPN-Tunnel auf Basis von L2TP/IPSec dorthin auf.

"Wer nichts zu verbergen hat, der hat auch nichts zu befürchten" – so lautet das Credo, das nicht nur "Terrorbekämpfer" landauf, landab wie eine Hostie vor sich hertragen. Richtiger wäre allerdings: "Ich habe zwar nichts zu verbergen, doch ich fürchte, dass meine Privatsphäre im Internet ohne gezielte Vorsorge nicht respektiert wird".

Wer zum Beispiel zuhause einen Video-Disk-Recorder (VDR, [1]) betreibt, und diesen auch von unterwegs via Smartphone bedienen will, der begibt sich schnell auf unsicheres Terrain. Das liegt daran, dass die Konfigurationsoberfläche Vdradmin [2] dazu über das Internet erreichbar sein muss und damit potenziellen Angreifern Tür und Tor öffnet: Der HTTP-Server des Recorders bietet nativ weder eine sichere Verbindung per SSL noch einen wirkungsvollen Passwortschutz beim Anmeldevorgang.

Hinzu kommt der Umstand, dass sich Smartphones über das öffentliche 3G-Datennetz des Mobilfunkanbieters oder über private WLANs – etwa im Internet-Café – ins Netz verbinden, wo Sie als Teilnehmer keinerlei Einfluss darauf haben, wer das Netz mit welchen Absichten noch benutzt. VPNs bieten hier eine wirkungsvolle Möglichkeit, den Datenverkehr zwischen Smartphone und dem heimischen Netz sicher zu gestalten.

Systemaufbau

Das vorgestellte Szenario geht davon aus, dass Sie Ihr Heimnetz über einen handelsüblichen xDSL-Router mit dem Internet verbinden. Weiterhin benötigen Sie einen Linux-Rechner, der als VPN-Server arbeitet und optional auch den Wunschdienst (etwa Vdradmin) anbietet (Abbildung 1).

Abbildung 1: Zwei Smartphones, eines (Client-A) in einem mobilen Netzwerk (A.0), das andere (Client-B) im WLAN (B.0) eines Internet-Cafés, kontaktieren die heimatliche Cloud via Internet (A.1/B.1) und bilden mit dem Server ein virtuelles privates Netzwerk über A respektive B.

Es spielt dabei kein Rolle, ob das lokale Netz per Ethernet oder WLAN kommuniziert. Aus Sicherheits- und Stabilitätsgründen sollten Sie jedoch der kabelgebundenen Variante den Vorzug geben. Zur permanenten Verfügbarkeit müssen sowohl Router als auch Server durchgehend aktiv bleiben. Darüber hinaus gilt es, die meist dynamische IP-Adresse über einen Dienst wie Dyndns [3] mit einem eindeutig adressierbaren Domainnamen erreichbar zu halten.

L2TP/IPSec

Erklärte Ziel dieses Artikels ist es, den Einsatz einer VPN-Lösung vorzustellen, welche die gängigen Android- und iOS-Smartphones von Haus aus mit der jeweiligen Firmware mitbringen. Deswegen fiel die Wahl auf L2TP/IPSec [4]. Das mobile System bleibt damit im Originalzustand, ein Jailbreak oder Rooten des Geräts kann unterbleiben.

IPSec steht für Internet Protocol Security und stellt in diesem Zusammenhang die Verschlüsselung der Verbindung zwischen Client und Server her. In kleinen, übersichtlichen Netzen – wie in diesem Fall – genügt es, die Authentifizierung über einen gemeinsamen, allen Clients bekannten Schlüssel zu realisieren, den man auch PSK ("Pre-shared Key") nennt. Auch wenn das die Gefahr des Vertippens erhöht, sollten Sie dazu ein möglichst langes Passwort wählen, das sich nicht in Wörterbüchern findet und damit Brute-Force-Attacken widersteht. Ferner sollten Sie das Passwort stets nur über sichere Kanäle übermitteln.

L2TP, das Layer 2 Tunneling Protocol, siedelt sich im OSI-Schichtenmodell oberhalb der IP- bzw IPSec-Schicht an. Es dient zum Transport der Datenpakete durch den IPSec-Tunnel. Es legt grundlegende Parameter des VPN-Netzwerks fest, etwa die IP-Adresse des VPN-Servers und den zur Verfügung stehenden IP-Adressraum sowie weitere Variablen, etwa die Erreichbarkeit des Domain-Name-Service.

Der PPPD (Point-to-Point Protocol Daemon) formt als letzte Instanz die Datenpakete und zeichnet in diesem Beispiel für die Punkt-zu-Punkt-Verbindung zwischen Client und Server verantwortlich. Er erledigt die Authentifizierung der Clients am Server anhand der Namen/Passwort-Paare sowie die finale Zuordnung der IP-Adressen. Darüber hinaus stellt er serverseitig die eigentliche Netzwerkschnittstelle dar, ähnlich eines Ethernet-Adapters. Abbildung 2 zeigt den serverseitigen Aufbau des VPN-Endpunkts.

Abbildung 2: Das serverseitige Ende des VPN-Tunnels und die Terminierung der einzelnen Schichten: IPSec, L2TP und PPP.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • OpenVPN-Grundlagen
    VPNs stehen seit jeher im Ruf, kompliziert und umständlich in der Konfiguration zu sein. OpenVPN zeigt, dass es auch anders geht: Mit einem Fünfzeiler bauen Sie einen sicheren Tunnel über das Internet auf.
  • Geschützter Netzzugriff von unterwegs mit OpenVPN
    Mit OpenVPN bleiben Sie zumindest virtuell immer zu Hause: Sie kommunizieren auch von unterwegs abhörsicher und angriffsgeschützt mit den Rechnern im heimischen LAN, als wären Sie dort.
  • Interne Netze sicher zu einem großen virtuellen Netz verbinden
    Eine große Anzahl Soft- und Hardware-Lösungen wetteifern darum, Firmenstandorte oder Wohngemeinschaften zu "Virtual Private Networks" (VPNs) zusammenzuschließen. Doch wer nur über einen schmalen Geldbeutel verfügt und mit geringem Konfigurationsaufwand und ohne Kernelpatchen über die Runden kommen möchte, muss etwas länger suchen.
  • WLAN-Router mit OpenWRT funktional ausbauen
    Mit der kostenlosen Firmware-Alternative OpenWRT erweitern Sie das Einsatzspektrum vieler WLAN-Router und Access-Points um zahlreiche Profi-Funktionen und viele nützliche Dienste.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
Kommentare
VPN Netzwerk hinterm Gateway
Matthias Mehls (unangemeldet), Donnerstag, 15. Dezember 2011 08:46:00
Ein/Ausklappen

Hallo,
super Artikel, aber leider liegt bei mir der Server in einem zweiten Netzwerk. 192.168.1.0/24 ist direkt mit dem Internet verbunden wobei eben 192.168.0.0/24 über 192.168.1.2 geroutet wird. Somit gelingt es mir nur eine Verbindung herzustellen, wenn ich mich mit dem Client in das 192.168.0.0/24 per WLAN einlogge und als VPN-Server direkt angebe.

Wie routet man das alles durch den ersten Router (Fritzbox) durch?




Bewertung: 180 Punkte bei 28 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Toller Artikel - Leider sendet Android rcvd [LCP TermReq id=0x2 "User request"]
Johndow (unangemeldet), Freitag, 18. November 2011 00:25:49
Ein/Ausklappen

Da Android 2.3 nach ca. 10 Sekunden rcvd [LCP TermReq id=0x2 "User request"] sendet, wird die ppp Verbindung gestoppt.
Gibt es für das Problem eine Lösung ?


Bewertung: 194 Punkte bei 22 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Toller Artikel - Leider sendet Android rcvd [LCP TermReq id=0x2 "User request"]
WH (unangemeldet), Freitag, 18. November 2011 19:17:29
Ein/Ausklappen

war denn der VPN-Tunnel vorher schon erfolgreich aufgebaut?
Denn diese Meldung heisst nichts anderes, als dass das Mobilteil eine Beendigung des Tunnels angefordert hat. Das passiert bei mir nur, wenn ich im Menü den VPN-Eintrag nochmals antippe - sprich die Terminierung bewusst auslöse.

Das Log sieht dann ca so aus

[...]
Nov 18 18:40:15 vpn-server pppd[3351]: rcvd [LCP EchoRep id=0x5 magic=0x7d68ca3c]
Nov 18 18:40:25 vpn-server pppd[3351]: rcvd [LCP EchoReq id=0x6 magic=0x7d68ca3c]
Nov 18 18:40:25 vpn-server pppd[3351]: sent [LCP EchoRep id=0x6 magic=0xcab4c99]
Nov 18 18:40:27 vpn-server pppd[3351]: rcvd [LCP TermReq id=0x2 "User request"]
Nov 18 18:40:27 vpn-server pppd[3351]: LCP terminated by peer (User request)
Nov 18 18:40:27 vpn-server pppd[3351]: Connect time 2.7 minutes.
Nov 18 18:40:27 vpn-server pppd[3351]: Sent 2202 bytes, received 3162 bytes.
Nov 18 18:40:27 vpn-server pppd[3351]: Script /etc/ppp/ip-down started (pid 3459)
Nov 18 18:40:27 vpn-server pppd[3351]: sent [LCP TermAck id=0x2]
[...]

Wie sieht den dein Log aus?

Noch eine Idee: ist das Phone gerootet? Mit einem gerooteten HTC Magic konnte ich keinen stabilen VPN Tunnel mehr aufbauen. Allerdings habe ich weder dieses Phone noch die Logs mehr und kann daher den Vorgang nicht mehr nachvollziehen.


Bewertung: 173 Punkte bei 27 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Re: Toller Artikel - Leider sendet Android rcvd [LCP TermReq id=0x2 "User request"]
archer (unangemeldet), Freitag, 11. Mai 2012 14:50:12
Ein/Ausklappen

Ich hatte zunächst auch das Problem mit dem Timeout nach 10 Sekunden (mit Android 2.3.5). Das Problem war aber nicht Android: Es genügt - zumindest unter ArchLinux - nicht, den xl2tpd Daemon zu starten. Stattdessen muss (nur) der in openswan enthaltene ipsec Daemon gestartet werden.


Bewertung: 180 Punkte bei 26 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Toller Artikel - Leider sendet Android rcvd [LCP TermReq id=0x2 "User request"]
archer (unangemeldet), Freitag, 11. Mai 2012 15:02:19
Ein/Ausklappen

Edit: streiche "(nur)" setze "auch" :-)


Bewertung: 120 Punkte bei 36 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.
Nach Ubdates alles weg ...
Maria Hänel, 15.11.2014 17:23, 5 Antworten
Ich brauche dringen eure Hilfe . Ich habe am wochenende ein paar Ubdates durch mein Notebook von...