Sicheres surfen durch VPN?

[appel2000]

Moin Zusammen,

ich hab da mal eine Verständnisfrage:

Wenn ich von extern via VPN (OpenVPN) auf meine DS zugreife, ist das ja verhältnismäßig sicher.
Jetzt lese ich hier des öfteren, dass man den kompletten Internetverkehr via OpenVPN über die DS schicken kann, um hierdurch "sicher zu surfen".

a) Wie geht das?
b) Wieso ist das sicherer? Auch wenn ich den Traffic über die DS schicke, kann dieser "danach" angreifbar. Nur der Weg von Laptop zu DS ist durch den Tunnel abgeschirmt. Oder?

Danke und Gruß

 

[Frogman]

Wenn man davon spricht, dass es sicherer sei, unterwegs per VPN über den heimtlichen Anschluss zu gehen, dann bezieht sich das auf die Unsicherheit von bspw. öffentlichen WLAN-Netzen (Hotels, Cafes usw.). Diese bieten vielfältige Möglichkeiten, darin Deinen Datenverkehr zu Websites wie zB. Onlinenbanking anzugreifen.
Verbindest Du Dich allerdings in diesen WLAN-Netzen zunächst verschlüsselt per VPN zur DS oder Deinem Router und schickst den ganzen Datenverkehr hindurch, sieht ein Angreifer im WLAN nur Zahlensalat. Der Datenverkehr, der dann aus Deinem Heimatnetz ins Internet geht, unterliegt dann den gleichen Angriffsmöglichkeiten wie das, was Du am heimatlichen PC tust. Also auch dann gilt, dass man möglichst nur per https (verschlüsselt) surfen sollte usw.

Auch aus dem normalen Mobilfunknetz heraus kann ein Einsatz von diesem VPN-Tunnel sinnvoll sein - denn in gewissen Ländern wird u.a. mobiler Datenverkehr sehr gut analysiert bis hin zu Deep Packet Inspection.

Wie das geht, findest Du übrigens an diversen Stellen, dazu solltest Du einfach mal in diesem Subforum stöbern (bspw. in diesem aktuellen Thread).

 

[appel2000]

Danke für Deine schnelle Rückmeldung.

Zum Verständis:

Ohne VPN:
Laptop -->WLAN Hotel --> Bank: hier könnte ein "Angreifer" im WLAN Hotel evtl. Daten abgreifen

Mit VPN:
Laptop --> VPN --> WLAN Hotel --> Diskstation --> Bank: hier könnte ein "Angreifer" nur zwischen Diskstation und Bank eingreifen, der Rest wäre zumindest verschlüsselt

So richtig?


Aus dem anderen Thread:

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

Lösche ich in der Config also das "#" vor dem #redirect-gateway def1
geht der gesamte Verkehr erstmal über die DS?
Wie verschlüsselt wird ja dort erklärt.

Wenn das so ist, dann hab ichs verstanden

Danke

 

[Frogman]

Mit VPN:
Laptop --> VPN --> WLAN Hotel --> Diskstation --> Bank: hier könnte ein "Angreifer" nur zwischen Diskstation und Bank eingreifen, der Rest wäre zumindest verschlüsselt

So richtig?

Nicht ganz... Wie ich sagte, solltest Du beim Zugreifen auf die bspw. Bank IMMER verschlüsseln, d.h. bspw. https verwenden, dann ist auch die Verbindung selbst verschlüsselt. Ansonsten stimmt, was Du schreibst - dann wäre die Verbindung zur Bank selbst angreifbar.

 

[Nightlover]

Nicht ganz...

Also das ganze klappt doch auch nur wenn man die OpenVPN richtig Konfiguriert und verschlüsselt und nicht einfach die Standardeinstellungen übernimmt sonnst bleibt auch die Verbindung angreifbar oder bin ich da falsch informiert?

Night

 

[Frogman]

Hui, das wird jetzt aber sehr schwammig...
Sagen wir so: die SSL-Standardeinstellung beim DSM sind schon recht gut, diejenigen für OpenVPN beim VPN-Server lassen etwas zu wünschen übrig (was für den Alltagsgebrauch eines 0815-Users aber schon noch geht). Hier muss man allerdings selbst aktiv werden, wenn man bspw. hochwertige Ciphren zwangsweise vorgeben will, Perfect Forward Secrecy nutzen will oder auch zusätzliche Zertifikatsabsicherung. Das erfordert dann ein wenig Einarbeitung in die OpenVPN-Doku und Kenntnisse auf der Kommandozeile.
Hinzu sei gesagt, dass man schon noch unterscheiden will, ob man vom VPN-Server Dinge vorgeben will oder sich auf Client-Einstellungen verlässt, denn auch dort können einige Härtungen durchgeführt werden.

 

[Nightlover]

Okay und danke für die Erklärung und vielleicht für dich interessant zu wissen ist das die SRM (Synology-Router-Management) und die dortigen SSL in OpenVPN einiges besser und sicher Arbeitet. Daher habe ich das ganze auf den Router Ausgelagert.

Night

 

[appel2000]

Auch von mir danke für Eure antworten.
Wieder was gelernt