Eigenen VPN Server einrichten

Es gibt zahlreiche vorkonfigurierte VPNs, einfach mach OpenVPN docker image suchen und eins auswählen.

https://github.com/kylemanna/docker-openvpn

Bei diesem z.B. ist auch ein ausführliches Tutorial verlinkt (auf Digitalocean findest du noch zahlreiche andere Anleitungen, die auch auf VPS funktionieren, deren IPs nicht in China gesperrt sind).

Aber: Wenn du mit Linux nicht vertraut bist, dann macht es meiner Meinung nach mehr Sinn, einen Nischenanbieter zu wählen. Spart Zeit und ist wahrscheinlich auch sicherer. Ansonsten gibt's auch dafür (zeitraubende) Tutorials auf Digitalocean, die die wichtigsten 80% der Absicherung abdecken.

 

Seit wann macht OpenVPN L2TP?

 

Seit nie.
Im Software-Forum wär der Thread wohl nicht untergegangen.

 

Warum sollte das relevant sein?

 

Hast recht, hab ich vollkommen übersehen.

Die Vorgangsweise bleibt aber die gleiche. Beim Googeln nach "L2TP docker image" hab ich das hier gefunden (leider ohne anfängerfreundliches Digitalocean-Tutorial):

https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README.md

€dit: Für China würde ich statt IPsec Chameleon empfehlen, damit umgeht man meiner Erfahrung nach die meisten Probleme in restriktiven Ländern.

 

Nö...also nicht im vom TE gedachten fall. Die Probleme entstehen, wenn man von außen auf seinen heimischen DS-Lite anschluss zugreifen will. Der TE will aber das VPN ja von innen nach außen aufbauen.

In Sachen VPN habe ich gute Erfahrung mit SoftEther VPN gemacht, dass läuft je nach Bedarf auch unter Windows oder Linux.

Ansosnten sind häufige Probleme bei VPNs unter Windows nicht vertrausenwürde Zertifikate (Selfsigned) sowie nicht vorhandene/unvollständige AD Umgebung.
Kannst dir ja mal das PDF anschauen: https://gallery.technet.microsoft.com/L2TPIPsec-VPN-On-Windows-5cc2c3ae/file/173947/9/L2TP-IPsec VPN on Windows Server 2016 Step by Step.pdf


Aber generell zählt L2TP nicht als Sicher, wobei das ja meistens via IPsec gesichert wird, womit die "Unsicherheit" dann nicht mehr von belang ist. Aber IPsec macht gerne mal Probleme an NATs, restriktiven Firewalls etc. Klar, bei einem gemieteten Server in einem RZ gibts kein NAT und daheim wird auch die Firewall wenig zicken machen. Aber man ist dann nicht so flexibel, wenn man vielleicht doch im Ausland sich zu seinen VPN verbinden möchte. Da wäre dann oben genanntes SoftEther ganz nett, da es nehmen L2TP/IPsec auch noch OpenVPN, SSTP (sozusagen PPTP über HTTPS) kann. Mit der eigenen Software sogar noch zusätzlich VPN über DNS oder ICMP. Da findet sich fast überall ein weg ;-).

Um was für ein Router handelt es sich denn? Unter Umständen ist es am Ende doch einfacher, ein kleinen Rasbpi oder ähnliche mini Rechner fürs VPN zu nehmen und diesen einfach via DHCP als Standardgateway zu verteilen. Dann geht auch der komplette Traffic durchs VPN, zusätzlich könnten sogar individuelle Routen gesetzt werden, man könnte beliebige Protokolle nehmen und weiß, dass man Sicherheitspatches bekommt und installieren kann. Aber klar, kostet nochmal ein paar Euro Anschaffung und etwas Strom.

 

Dir sei verziehen...ist ja noch früh im Jahre

 

Das aber nur wenn du IPSec im Transport-Mode verwendest, im Tunnel-Mode hast du wie die anderen VPN-Sachen einen "normalen" UDP-Port zum Daten schicken. Aber IPSec ist schon eher Krebs.
Ein VPN muss nicht zwingend verschlüsselt sein, wird aber oft gemacht, das stimmt schon.

Wer nur Linux verwendet der nimmt am besten Wireguard, ist mit Abstand das beste VPN-Protokoll.

 

So, sorry aber DaSy hat mich für ne Woche in den Keller gesperrt

Danke noch fürs Verschieben des Threads

Also was ich brauche ist eine Lösung durch welche ich meinen Router zuhause in China so konfigurieren kann, dass aller Traffic verschlüsselt über einen eigenen Server in Europa umgeleitet wird.

Optimalerweise sollte dadurch auch das Geoblocking von Netflix und amazon Video umgangen werden, aber das ist optional.

L2TP oder PPTP funktioniert nicht, das wird von den Chinesen geblockt wie ich jetzt rausgefunden habe.

Also brauche ich irgendein anderes Protokoll und wohl auch einen neuen Router.

Ist OpenVPN da stark genug um auch Metadaten zu verschlüsseln? Und gibt es einen Router der OpenVPN unterstützt?

Ich will halt nicht jedes Gerät einzeln konfigurieren sondern den Router direkt. Was wäre denn da die beste Lösung?

 

OpenVPN ist sehr leicht erkennbar.

Letzte Berichte sind da: du verbindest dich aus China, geht erstmal. Nach ein paar Minuten schaut eine andere IP auf dem Port nach was sich meldet, ist es OpenVPN wird die Verbindung wieder blockiert.
https://www.cs.princeton.edu/~pwinter/ensafi2015b-slides2.pdf

 

Blöd

Da gibts doch auch Protokolle die die Metadaten verschlüsseln. Chameleon oder so.

 

Metadaten wären eh bei OpenVPN auch verschlüsselt, haben aber mit der Erkennung hier nichts zu tun. Da es auf dem Router laufen soll bist du ein wenig eingeschränkt was Protokolle angeht, Windows nochmal.
Sonst halt Wireguard, braucht aber 2x Linux. Hier meint einer das es wohl funktioniert.

 

Schade. Wäre auch zu einfach.

Mein VPN Anbieter bietet anscheinend auch vorkonfigurierte Router an. Und zumindest vom Handy und Laptop aus kann ich zu einigen seiner Server verbinden, welche sogar mit Netflix laufen.

Dachte ich könnte das vielleicht alles selber machen, aber vielleicht kauf ich mir einfach das vorkonfigurierte Zeug und gut ist.

 

Nicht wirklich....also kommt darauf an, was du unter Metadaten verstehst. Die Verbindung zwischen dein Router und der Gegenstelle ist natürlich immer sichtbar. Und die ist gewissermaßen ja das Problem.

Wireguard und OpenVPN (auch im TCP-443 Modus) lassen sich gut via DPI erkennen. Da weiß die Regierung sofort, dass das VPN ist. Besteht die Verbindung dauerhaft, wird sie imho recht schnell gedrosselt und dann geblockt.
Vermutlich hast du bessere Chancen wenn oben erwähnte SoftEther mit seinem eigenen HTTPS-VPN verwendest, am besten mit einem echten Zertifikat für eine echte Domain.
Mit noch mehr Aufwand könntest du sogar einen Reverse Proxy betreiben, der alles an ein unverfängliches Ziel umleitet und nur den IP Bereich von dir an den VPN-Server durchreicht.....halt klassisches Katz & Maus spiel.

Ich werde am Montag mal schauen ob ich herausfinden kann, was unsere "DPI" zu SoftEther und WG sagt. Aber wenn die es auch erkennen sollte, dann erst recht die Chinesische ;-)

 

Könnte man nicht ne eigene Büchse (ein Raspberry oder ein ähnlich kleines und billiges Gerät) neben den Router hinstellen, diese als default GW verteilen und dort einen Dienst Dienst laufen lassen, der alles über VPN aus China raustunnelt?

Dann hätte man doch vermutlich weitaus mehr Auswahl, was die verwendete VPN-Software angeht.

 

Ich muss zugeben, ab dem zweiten Absatz versteh ich nurnoch Bahnhof.

Ich verwende bisher einen kommerziellen Anbieter von VPNs und dessen App läuft auch. Er bietet auch eine Firmware für bestimmte Router an und damit versuch ichs jetzt mal.

Dann muss ich zwar weiter für den VPN Service zahlen, aber das ist wohl wirklich stressfreier und nur unwesentlich teurer als nen eigenen Server zu betreiben.

 

Jup...keine Ahnung was dein Anbieter kostet, aber vermutlich ist es sogar billiger. Du musst dich nichts kümmern, hast in der Regel mehrere Server zur Auswahl....anstelle der vorgefertigten Router könntest du höchstens überlegen, den "selber" zu machen. Sprich billig Rechner (Raspi, Intel-Atom oder ähnliches) und dein Traffic von dem Rechner weiterleiten zu lassen:
China Traffic --> direkt an den richtigen Router
Euro/US Traffic --> durchs VPN

 

Hab mir jetzt nen blanken Router geholt und installier selber die Firmware meines VPN Anbieters drauf.

80€ für nen Router vs. 350$ für vorkonfiguriert...

 

Hat alles super funktioniert und die Verbindung läuft stabil. Bin auf den Stresstest gespannt wenn ich den Router jetzt nach China mitnehm und dort einstöpsel.