Mittlerweile finden mobile Zeitgenossen mit iPhone, iPad, Macbook oder Windows-Notebook unterwegs fast überall einen Hotspot zur Verbindung ins Internet. Manchmal kostenpflichtig, oft auch kostenlos bieten Hotels, Cafés, Flughäfen oder andere Einrichtungen WLAN-Zugang. Das spart jede Menge Datenvolumen, besonders im Ausland, und ist meist auch schneller als eine Verbindung über die Mobilfunkkarte.
Allerdings ist diese bequeme Art der Verbindung nicht ganz ungefährlich, wenn etwa der Hotspot nicht gut vor Angriffen gesichert ist oder gar von einem kriminellen Mitmenschen betrieben wird. Ob Sie sich in ein Forum einloggen oder schnell den Kontostand abfragen – oft lassen sich Benutzerdaten wie Zugang und Passwort mit speziellen Tools am Hotspot „mitschneiden“. Sicherheit unterwegs bietet Business-Kunden schon lange die Nutzung eines Virtuellen Privaten Netzwerks, kurz VPN. Dabei wird die gesamte Kommunikation zwischen dem Client (iOS oder Android-Gerät, Mac oder PC) und dem VPN-Server verschlüsselt wie durch eine gesicherte Leitung im Internet abgewickelt, man spricht auch von „Tunneling“.
VPN als Schutz vor Mithörern
Am Beispiel-Hotspot bekommt ein neugieriger Zeitgenosse dann statt der erhofften Zugangsdaten nur Buchstabensalat, der sich auch nach heutigem Stand der Technik nicht knacken lässt. Die Daten laufen verschlüsselt im Tunnel und dann optional vom VPN-Server aus weiter im Internet zum Ziel. Lange Jahre waren VPN-Server aus Kostengründen nur eine Alternative für Business-Kunden: Der VPN-Server steht im lokalen Netzwerk der Firma, auf diese Weise verfügen Nutzer über eine komplett verschlüsselte Verbindung zum lokalen Firmen-Mailserver und anderen Diensten. Seit ein paar Jahren gibt es meist kostenpflichtige Lösungen, die sich zumindest des Problems der Mithörer an Hotspots annehmen und somit auch für Privatanwender hilfreich sind. Kunden bekommen die VPN-Zugangsdaten und surfen unterwegs über den VPN-Server des Anbieters – ein Beispiel für einen guten Service ist Cyberghost, das Unternehmen bietet sogar einen kostenlosen Basisservice.
Die Adressen im Internet bestehen nur aus Zahlen, doch wer kann sich schon die ganzen Nummern merken? Zur Erleichterung hat man daher Namen eingeführt, die ein DNS-Server wieder in Zahlen übersetzt
Da Internetprovider meist täglich die Verbindung zum Router trennen und mit einer neuen (öffentlichen) IP-Nummer wieder aufbauen, benötigen Sie einen DynDNS-Dienst, der Ihrem Router einen festen Host- und Domain-Namen zuweist. Der Dienst DynDNS ist nicht mehr kostenlos, kostenlosen Service bieten aber auch andere. Wir empfehlen Noip oder den Dienst DNS Home. Eine Liste mit weiteren Anbietern gibt es online bei den Kollegen der PC-Welt. Legen Sie einen Account an, und tragen Sie Host- und Domain-Namen samt Account-Daten und Passwort im Webinterface der Fritzbox ein.
Der eigene VPN-Server
Noch besser ist natürlich ein eigener VPN-Server, das Aufsetzen setzt allerdings einiges an technischer Fertigkeit voraus. Fein raus ist, wer über ein 6000er- oder 7000er-Modell von AVMs Fritzbox verfügt. Unter Fritz OS 6.20 bieten die Modelle einen integrierten VPN-Server, der sich extrem einfach einrichten und nutzen lässt. Laut einer Studie von 2010 sind die AVM-Router extrem verbreitet. Europaweit erreicht die Router-Familie 21 Prozent, in Deutschland erreicht AVM gar 68 Prozent Marktanteil und ist unangefochtener Marktführer. Die meisten deutschen Internet-Provider stellen ihren Kunden eine Fritzbox zur Verfügung.
Ist der VPN-Server aktiviert und iOS-Gerät oder PC konfiguriert, baut das Endgerät einen IPsec-verschlüsselten Tunnel zwischen Gerät und Router auf (siehe Kasten). Die gesamte Kommunikation ist sicher verschlüsselt. Der Router bietet in der Folge Zugriff auf Geräte Ihres Netzwerks und leitet Internetanfragen weiter, etwa die Ihres Mailclients am iPhone. Der Router wird dann zur Vermittlungsstelle.
DNS-Problem lösen
Damit das Szenario klappt, muss Ihr iPhone, iPad oder Notebook unterwegs den VPN-Server erst einmal finden, um die Verbindung aufbauen zu können. Dazu muss im Beispiel das iPhone unterwegs die IP-Nummer Ihrer Fritzbox kennen – und die ändert sich bei Privatnutzern mindestens einmal täglich: Um IP-Adressen und Bandbreite „zu sparen“, hängt Sie Ihr Provider täglich ab vom Internet, um Sie sofort wieder zu verbinden, falls das Gerät (in dem Fall der Router) weiter aktiv ist. Dabei erhalten Sie eine neue IP-Nummer, man spricht von dynamischer Zuteilung. Mithilfe einer IP-Nummer bekommt Ihr iPhone unterwegs den Router folglich nicht zu fassen. Abhilfe schaffen Dienste, die Ihnen einen Host-Namen zur Verfügung stellen, der automatisch und stets aktuell mit Ihrer jeweils zugeteilten IP-Adresse verbunden ist. Das Ganze funktioniert automatisch.
Der bekannteste Dienstleister dieser Kategorie ist DynDNS, das Unternehmen stellt aber leider keine kostenlosen Host-Namen mehr zur Verfügung – das tun weiterhin andere. Sie benötigen einen Host- und Domain-Namen, den Sie in der Folge nutzen. Zwar bietet auch AVM mit MyFritz einen Dyn-DNS-Dienst, uns ist aber dessen Handhabung zusammen mit VPN zu undurchsichtig und schwierig. Haben Sie sich bei einem der genannten Anbieter Host- und Domain-Namen besorgt, tragen Sie die Zugangsdaten im Webinterface der Fritzbox ein, in der Übersicht wird dann angezeigt, dass Verbindung besteht.
Ein VPN-Zugang ist ein verschüsselter Weg nach Hause, die Einrichtung ist jedoch nicht ganz einfach
Für Windows-Nutzer bietet AVM ein kostenloses Tool zur Einrichtung an, das Konfigurationsdateien für den Router und das mobile Endgerät erzeugt. Für Mac-Nutzer gibt es im Mac App Store ein Programm für 2,69 Euro, das in denselben Schritten wie die AVM-Lösung die benötigten Dateien erzeugt. Die Konfiguration kann auch manuell erfolgen, davon raten wir aber dringend ab, hier kommt es leicht zu Fehlern.
Fernzugang einrichten
Ist das geschehen, ist nur noch der Fernzugang einzurichten. Das geschieht in zwei Schritten beziehungsweise an zwei Orten, der Fritzbox und dem Endgerät, das sich unterwegs verbinden soll. Was normalerweise recht kompliziert ist, erledigt kinderleicht das kostenlose Windows-Programm Fritzbox Fernzugang von AVM. Für OS X bietet AVM die Lösung leider nicht an, hier empfehlen wir das Programm VPN Assistent (2,69 Euro im Mac App Store), das identisch funktioniert.
Nach dem Start legen Sie einen Account-Namen für die VPN-Verbindung eines Gerätes fest, etwa „iPhoneVolker“, dazu ein sicheres Passwort mit mindestens zwölf Zeichen. Im zweiten Schritt sind Ihr Host- und Domain-Name vom Dyn-DNS-Provider einzutragen, dann der IP-Nummernkreis Ihres lokalen Netzwerks, falls Sie das voreingestellte der Fritzbox geändert haben. Beim folgenden Abschließen der Einstellungen müssen Sie noch das Zugangspasswort Ihrer Fritzbox angeben, die Router-Konfiguration erfolgt automatisch.
Auch der Eintrag der Daten am iOS-Gerät ist kinderleicht, beide Programme erzeugen das benötigte Profil, das Sie sich auf Ihr iPhone oder iPad per Mail schicken und dann installieren. Am Windows-Notebook oder Macbook sind die Zugangsdaten aus einer dargestellten Übersicht manuell einzutragen – fertig. Richten Sie für jedes Gerät, für das Sie unterwegs einen VPN-Zugang nutzen wollen, ein eigenes Profil an. Wir haben drei Profile für iPhone, iPad und Notebook in weniger als fünf Minuten angelegt und installiert. Wir empfehlen die Nutzung der genannten Programme. Sowohl an der Fritzbox als auch am iOS-Gerät lässt sich das zwar auch alles manuell erledigen, es gibt aber haufenweise Möglichkeiten, Fehler zu machen und in der Folge genervt aufzugeben.
Telefonieren über das Internet – Ratgeber IP-Telefonie
VPN im Einsatz
Am iOS-Gerät schalten Sie unterwegs die VPN-Verbindung über die Einstellung ein, am Mac wählen Sie die angelegte Umgebung, unter Windows VPN aus. Die Internetverbindung (über Wi-Fi oder Mobilfunkverbindung) unterscheidet sich bei der Nutzung nicht von einer unverschlüsselten ohne VPN. Sie können Ihre Mails abfragen, surfen, Apps nutzen und so weiter. Die Verbindung geht immer verschlüsselt von Ihrem Gerät unterwegs über Ihre Fritzbox in das Internet.
Klasse auch: Sie haben außerdem geschützten Zugriff auf Ihr Netzwerk. Setzen Sie etwa die App Fritzapp Fon am iPhone ein, können Sie von unterwegs die Telefonliste der Fritzbox einsehen und sogar via VPN vom iPhone über den Festnetzanschluss zu Hause Telefonate führen.
Ist der VPN-Zugang fertig konfiguriert, sollte man ihn ausgiebig testen
Die Software übernimmt nicht nur die Konfiguration, sondern überträgt diese auch auf Ihre Fritzbox. Das geschieht mit einem Klick auf „Weiter“. Im folgenden Fenster müssen Sie das Zugangspasswort zur Fritzbox eintippen. Sehr cool: Mit der Option „Konfigurationsdateien per E-Mail versenden“ schicken Sie sich das am iPhone benötigte Profil selbst zu und installieren es dort. Dabei müssen Sie Ihr festgelegtes Passwort eingeben, VPN für das iPhone ist einsatzbereit.
Vor- und Nachteile
Die skizzierte Nutzung des VPN ist absolut sicher, wenn Sie ein sicheres Passwort gewählt haben. Nach außen sind keine Ports der Fritzbox geöffnet, das hatte in der Vergangenheit immer wieder zu Dateneinbrüchen geführt. Unterwegs können Sie sicher sein, dass kein mieser Zeitgenosse Ihre Internetkommunikation am Hotspot abhören kann, und das VPN ist kostenlos.
Einen Mini-Nachteil wollen wir nicht verschweigen, er betrifft Nutzer mit Apple-Umgebungen. Apple verwendet das Zero-Konfig-Protokoll Bonjour zur einfachen Nutzung von Netzwerkgeräten ohne Konfiguration. Bonjour findet normalerweise keinen Weg über ein VPN, hier lauern gewaltige technische Herausforderungen, dazu ist ein eigener DNS-Server nötig. Sie können somit von unterwegs am iPhone nicht per Airprint zu Hause drucken oder auf die iTunes-Mediathek zugreifen. Dieser kleine Nachteil ist jedoch leicht zu verschmerzen. Wer eine der genannten Fritzboxen nutzt, sollte sich die Zeit nehmen und die VPN-Verbindung einrichten, es lohnt sich!
Hersteller von Markenroutern wie AVM integrieren heutzutage VPN-Funktionalität in ihre Geräte, die Fritzbox-Router unterstützen das als sicher geltende IPsec, das mit den Protokollen AH und/oder ESP betrieben werden kann, mit oder ohne Authentifikation sowie DES- oder TripleDES-Verschlüsselung. Die Fritzbox-Modelle erlauben VPN-Verbindungen für Clients wie iPhone oder Notebook sowie die Kopplung von ganzen Netzwerken. Statt der im Internet verwendeten öffentlichen IP-Nummer ist der über einen DynDNS-Dienst bezogene Host- und Domain-Name zu verwenden. IPsec umfasst vier Sicherheitsfunktionen: Verschlüsselung der Daten gegen unbefugtes Mitlesen, Authentifikation der Nachricht und des Absenders und Schlüsselverwaltung. Das Kernstück von IPsec sind die „Security Associations“. Sie existieren zwischen zwei Kommunikationspartnern und entscheiden, wie mit den Daten zu verfahren ist. Um einen sicheren Tunnel aufzubauen, genügt es, wenn die beteiligten Router eine IPsec-Security-Association besitzen. Auch bei der Einwahl eines mobilen Anwenders wird eine Security Association zwischen dem Client und dem Router im Zielnetzwerk definiert. Die Fritzboxen bieten beide Verbindungsarten: Die Kopplung von zwei Netzwerken oder die Verbindung vom Client zu einem Netzwerk über den Router. Dank der starken Verschlüsselungsalgorithmen wie TripleDES gelten VPN-Tunnel als sicher.