Fragen zum VPN Einsatz

Hallo zusammen,

ich möchte zukünftig in meinem privaten Netzwerk VPN nutzen. Hab da bisher keine praktische Erfahrung und mich etwas eingelesen.

Meine Ziele und wie ich die umsetzen möchte, habe ich hier mal skizziert und auch die Fragen, die ich noch nicht beantworten kann. Vielleicht könnt ihr mir da weiterhelfen.

Anwendungsfall 1:
Von unterwegs über ein öffentliches WLAN oder Mobilfunknetz mit VPN der heimischen Fritzbox verbinden. Dann über diese wie gewohnt (sicherer) im Netz surfen.
Wenn ich das alles richtig verstanden habe, kann ich dazu selbst ein VPN über die Fritzbox einrichten, dazu brauche ich keinen kommerziellen VPN Anbieter.

Frage dazu: Ich hab zu Hause nur im internen Netz ne nextcloud laufen. Komm ich dann mittels dieser VPN Verbindung auf die heimische Nextcloud? Müsste ich dazu ne Portfreigabe oder Forwarding machen oder geht das einfach so?

Anwendungsfall 2:
Anonym(er) surfen aus dem Home Netz, mein ISP soll meine Aktivitäten nicht immer mitbekommen, auch: Trackingschutz erhöhen
(Auch ein Grund: vor dem Hintergrund, dass ich in den nächsten Jahren mehr Überwachung des Internettraffics erwarte, möchte ich bis dahin schon Erfahrung mit VPNs gesammelt haben)
Hierfür werde ich einen kommerziellen VPN Anbieter wählen, dem ich Vertrauen entgegen bringe. (Ich weiß, dass ich die Werbeversprechen nicht prüfen kann)

Bei der Umsetzung sind mehrere Varianten denkbar:
Ich könnte einen VPN Server des Providers in die Fritzbox eintragen, so dass jeglicher Verkehr über diesen VPN-Server läuft. Welche Nachteile bringt das mit sich? Ich würde mich dann z.B. auch mal bei amazon einloggen über diese VPN Verbindung, wo mit sowohl der VPN Provider meine Identität weiß, als auch amazon, dass ich ein VPN nutze. Ich bewertet das bei meiner Zielsetzung aber erstmal nicht als großes Problem.
Nachteil wäre dabei auch, dass ich „fest“ einen Geo-Server dort hinterlege und nicht schnell zwischen den Ländern wechseln kann.
Sind meine Annahmen so korrekt oder übersehe ich was?

Oder ich aktivieren das VPN fallweise per App oder BrowserAddon. Ist halt etwas aufwändiger, dafür kann ich gezielt festlegen, was über VPN laufen soll und über welches Land ich gerne surfen will.

Wie habt ihr das umgesetzt?

Anwendungsfall 3:
Für Streaming per Kodi oder Shopping möchte ich zeitweise/geratespezifisch eine andere Region nutzen können.
Komplett blank bin ich bei der Frage, wie ich das mit den Kodi Clients lösen könnte, um da temporär die Region zu ändern. Da muss ich mich noch einlesen, ob es da AddOns gibt.

Richtig. Allerdings braucht man DynDNS, wenn man nicht die ständig wechselnde IP-Adresse vom Heimanschluss im VPN-Client anpassen möchte In der AVM Wissensdatenbank gibt es dazu eine recht brauchbare Anleitung. Man kann einen der bereits hinterlegten DynDNS-Anbieter, MyFRITZ oder was komplett eigenes nehmen. Letzteres nutze ich mit einem kleinen Bash-Skript welches den A-Record meiner Domain aktualisiert. Mein Domainhoster bietet dafür die passenden APIs an. Das Skript selbst liegt auf einem internen Server, wird also mit z.B. http://192.168.2.50/... aufgerufen. Erstmal eingerichtet läuft es auch nach Jahren immer noch sehr zuverlässig.

Schwierig wird es dann, wenn du einen DS-Lite Anschluss hast, also keine öffentliche IPv4-Adresse existiert. In der AVM Wissensdatenbank gibt es eine Übersicht: Erreichbarkeit der FRITZ!Box im Internet prüfen.

Wenn du den Zugriff auf deine Nextcloud ausschließlich über VPN haben möchtest, dann braucht man keine Portfreigaben o.ä. einrichten - sofern du das VPN der Fritzbox verwenden möchtest. Andernfalls benötigt man einen VPN-Server in deinem Netz und eine Portfreigabe zu diesem.

Naja, genau das Gesamter Datenverkehr bedeutet ausnahmslos alles. Im Grunde verschiebt man dann lediglich „das Problem“ vom ISP zum VPN-Anbieter - und das nicht nur für einen einzelnen Benutzer, sondern alle Benutzer und alle Anwendungen die das Netzwerk benutzen.

So in etwa. Viele vertrauenswürdige VPN-Anbieter gibt es ja nicht, daher nutze ich überwiegend das Tor-Netzwerk. VPN-Anbieter sind für mich eher eine sehr seltene Ausnahme, d.h. nur „fallweise“.

Ob du nun deine Seele an einen ISP oder einen VPN-Provider verkaufst, was macht das für einen Unterschied? Zuerst einmal, wie @Sim schon erwähnt hat, verschiebst du das Problem nur von einer Instanz zur nächsten. Beide wissen, wer du bist.

Wenn dir Anonymität und Tracking-Schutz wichtig sind, kannst du eine Kombination aus VPN und Tor-Browser verwenden. Hier würde ich tatsächlich zum Tor-Browser raten, weil er erstens einfacher zu implementieren ist und zweitens der Browser so eingestellt ist, dass er möglichst wenig von dir preisgibt.

Die größte Datenschleuder ist nämlich der Browser selbst. Um eine möglichst gute Nutzererfahrung zu haben, senden Browser sehr viele Daten, unter anderem z.B. sogar deine originale IP-Adresse, auch wenn du versuchst, diese mit VPN zu anonymisieren. WebRTC ist z.B. so ein Kandidat, mit dem ich mich mal intensiv beschäftigt habe[1]. Seiten wie BrowserLeaks.com[2] sind immer eine gute Anlaufstelle, um die eigenen Browsereinstellungen auf Anonymitätslücken zu überprüfen. Ich vermeide bewusst das Wort Sicherheitslücken, da es in diesem Zusammenhang irreführend ist.

Schließlich würde ich dem Tor-Netzwerk auch nicht mein Leben anvertrauen. Es ist zu befürchten, dass mittlerweile sehr viele Tor-Relays unter der Kontrolle von Akteuren stehen, die die Anonymität des Tor-Netzwerks untergraben wollen. Dazu passt ein spektakulärer Fahndungserfolg der deutschen Polizei, die einen Kriminellen mit einem Timing-Angriff überführt hat[3]. Dabei kontrolliert der Angreifer (in diesem Fall die Polizei) mindestens zwei Knoten im Tor-Netzwerk (idealerweise das Entry-Relay sowie das Exit-Relay) und anhand bestimmter Muster im Datenverkehr wird ein Abgleich durchgeführt. Das Entry-Relay kennt die ursprüngliche IP-Adresse (wenn nicht zusätzlich ein VPN verwendet wird) und das Exit-Relay kennt das Ziel. So kann eine Korrelation der Daten durchgeführt werden. Fazit: Auch das Tor-Netzwerk schützt dich nicht vor mächtigen Gegnern.

[1] https://kb.prontosystems.de/knowledge-base/webrtc-leak-prevention/
[2] https://browserleaks.com/
[3] https://www.golem.de/news/deanonymisierung-von-nutzern-behoerden-unterwandern-tor-netzwerk-2409-189076.html

Wie definierst Du in diesem Kontext „wer du bist“ ?
Während der ISP (in DE) üblicherweise Deine reale Identität zwecks Vertragserfüllung erfasst, ist das bei VPN-Anbietern nicht zwangsläufig so. Bei entsprechender Auswahl erhalten diese weder Identität noch Zahlungsinformationen. Es bleibt im Idealfall dann als personenbeziehbare Information nur die IP, mit der man sich zum VPN-Dienst verbindet.

Ein seriöser VPN-Dienst kostet normalerweise Geld und das muss ich bezahlen. Hand aufs Herz, wie viele kennst du, die so etwas mit Bitcoin bezahlen? Aber gut, man muss mehr tun, um die Identität herauszufinden, je nach Motivation und Möglichkeiten desjenigen, der das wissen will. Aber ich würde nicht mein Leben oder meine Freiheit damit riskieren.

In dem oben zitierten Fall, in dem die deutsche Polizei einen Tor-Nutzer enttarnt hat, war die IP-Adresse ausreichend. Datum, Uhrzeit und IP-Adresse sind so aussagekräftig wie eine Kreditkartennummer. Kommt halt immer darauf an, wer es wissen will.

In der Regel sind auch die IP-Adressen, die von den VPN-Providern verwendet werden, bekannt. Da nützt es auch nichts, eine IP-Adresse aus Marokko zu nehmen, wenn der VPN-Provider in der EU sitzt und man eigentlich wegen der hohen Datenschutzstandards einen solchen verwenden will.

VPN und Tor sind nur gut, um im Grundrauschen der Überwachung unterzugehen. Wäre ich ein Krimineller, ein Dissident oder ein von Autokraten verfolgter Aktivist, würde ich persönlich andere Optionen wählen.

Ich entnehme dem dann mal, dass nach Deiner Definition „wer du bist“ bereits gleichzusetzen ist mit der Kenntnis der IP.
Das zielt demnach vermutlich auf ein recht striktes Bedrohungsszenario ab, von dem der durchschnittliche nach Anonymität und Trackingschutz strebende User vermutlich noch weit entfernt ist.

Für diesen bieten seriöse Anbieter wie Mullvad und Proton auch anonyme Zahlungen abseits von Bitcoins an (Bargeld bzw. Codekarten).

Dies hängt vom Bedrohungsszenario bzw. Anwendungsfall ab. Wenn du dem Zielserver deine Herkunft nicht verraten willst, z.B. um Geoblocking zu umgehen, kann ein VPN eine ausreichende Maßnahme sein. Je nach Motivation des Betreibers des Zielservers, deine wahre Herkunft herauszufinden, hängt es dann stark davon ab, wie du das VPN nutzt. Es kann sein, dass dein Browser in den höheren Schichten der Netzwerkverbindung immer noch genügend Informationen liefert, um deine wahre Herkunft zu verraten. Stichwort: Fingerprinting.

Bist du nun ein Whistleblower oder ein Dissident, der von einem mächtigen Akteur bedroht wird, hast du einen höheren Schutzbedarf, den ein VPN nicht mehr abdeckt. Zu viele Akteure haben Informationen, die in der Summe zu dir führen. Dein Internetprovider kennt dich, der VPN-Provider kennt deinen Internetprovider usw.

In diesem Fall würde ich versuchen, das Problem ganz am Anfang der Kette zu lösen. Vielleicht schon mit einer anonymen Prepaid-Internetverbindung. Mehrere Prepaid-SIM-Karten zum Beispiel. Das ganze VPN-Zeug ist dann nur eine zusätzliche Schicht. Mehr um Zeit zu gewinnen als Sicherheit.

Dann dürfen die verwendeten Geräte auch keine Informationen enthalten, die zu dir zurückverfolgt werden können. Wenn du einen mächtigen Gegner hast, der zu allem entschlossen ist, brauchst du schon einen Jason Bourne, um da noch zu entkommen. Übrigens: Hast du dich schon mal gefragt, welchen Aufwand der Mossad betrieben hat, um die Pager der Hamas-Führer gleichzeitig in die Luft zu jagen? Aber das ist ein anderes Thema.