2 Rechner Über Internet Verbinden

Berechnen Sie die benötigte Bandbreite, Latenz und optimale Verbindungseinstellungen für die Remote-Verbindung zwischen zwei Computern.

Die Verbindung zweier Computer über das Internet ermöglicht entfernten Zugriff auf Dateien, Programme und sogar die vollständige Steuerung eines entfernten Systems. Diese Technologie ist essenziell für Fernarbeit, IT-Support, Serververwaltung und kollaboratives Arbeiten. In diesem umfassenden Leitfaden erklären wir alle Methoden, Sicherheitsaspekte und Optimierungsmöglichkeiten für die Verbindung zweier Rechner über das Internet.

1. Grundlagen: Wie funktioniert die Verbindung zweier Computer über das Internet?

Die Verbindung zweier Computer über das Internet basiert auf dem Client-Server-Prinzip oder Peer-to-Peer-Architektur. Hier sind die wichtigsten Konzepte:

• IP-Adressen: Jeder Computer im Internet hat eine eindeutige IP-Adresse (IPv4 oder IPv6), die als “Telefonnummer” für die Kommunikation dient.
• Ports: Dienste laufen auf spezifischen Ports (z.B. Port 22 für SSH, Port 3389 für RDP).
• Protokolle: Regeln für die Datenübertragung (TCP für zuverlässige Verbindung, UDP für schnelle Übertragung).
• NAT/Firewalls: Router übersetzen private IP-Adressen und filtern Verbindungen.
• Verschlüsselung: Sichere Verbindungen nutzen Protokolle wie TLS, SSH oder IPsec.

1.1 TCP vs. UDP für Remote-Verbindungen

Kriterium	TCP (Transmission Control Protocol)	UDP (User Datagram Protocol)
Zuverlässigkeit	Garantierte Zustellung, Paketwiederholung	Keine Garantie (“Fire and Forget”)
Geschwindigkeit	Langsamer (Overhead für Bestätigungen)	Schneller (kein Overhead)
Verwendung	RDP, SSH, HTTP, E-Mail	VoIP, Videostreaming, Spiele
Latenzempfindlichkeit	Höhere Toleranz	Sehr empfindlich
Datenintegrität	Garantiert (Prüfsummen)	Nicht garantiert

2. Methoden zur Verbindung zweier Computer über das Internet

2.1 VPN (Virtual Private Network)

Ein VPN erstellt einen verschlüsselten “Tunnel” zwischen zwei Computern über das öffentliche Internet. Beide Geräte erscheinen dann so, als wären sie im selben lokalen Netzwerk.

Vorteile:

• Hohe Sicherheit durch Verschlüsselung
• Zugang zu lokalen Netzwerkressourcen
• Geringere Latenz als viele Cloud-Lösungen

Nachteile:

• Einrichtung erfordert technisches Know-how
• Performance hängt von beiden Internetverbindungen ab
• Dynamische IP-Adressen können Probleme verursachen

Empfohlene VPN-Protokolle (2024):

1. WireGuard: Modernes, schnelles Protokoll mit minimalem Overhead (Open-Source)
2. OpenVPN: Bewährtes Protokoll mit starker Verschlüsselung (AES-256)
3. IKEv2/IPsec: Gut für mobile Geräte (schnelle Wiederverbindung)
4. SoftEther: Hochperformant mit Multi-Protokoll-Unterstützung

2.2 RDP (Remote Desktop Protocol)

Microsofts RDP ermöglicht die vollständige Fernsteuerung eines Windows-Computers mit grafischer Oberfläche. Es ist in Windows Pro/Enterprise integriert und bietet gute Performance für Büroanwendungen.

Technische Details:

• Standardport: 3389/TCP
• Verschlüsselung: TLS 1.2+ (ab Windows 10)
• Bandbreitenbedarf: 1-10 Mbit/s (abhängig von Auflösung)
• Latenzempfehlung: < 100ms für flüssige Bedienung

Sicherheitsrisiken:

• RDP ist ein häufiges Angriffsziel (Brute-Force-Angriffe)
• Ungepatchte Systeme anfällig für Exploits (z.B. BlueKeep)
• Standardport 3389 sollte immer geändert werden

2.3 SSH (Secure Shell)

SSH ist das Standardprotokoll für sicheren Remote-Zugriff auf Unix/Linux-Systeme und Windows (mit OpenSSH). Es bietet verschlüsselte Kommandozeilen-Zugriffe und kann für Port-Forwarding genutzt werden.

Hauptfunktionen:

• Verschlüsselte Terminal-Sitzungen
• SFTP/SCP für sichere Dateiübertragung
• Port-Forwarding (Tunneling)
• X11-Forwarding für grafische Anwendungen

Sicherheitsbest Practices:

1. Nur Schlüsselauthentifizierung verwenden (keine Passwörter)
2. Standardport 22 ändern oder mit Port-Knocking schützen
3. Fail2Ban für Brute-Force-Schutz einrichten
4. Regelmäßig SSH-Versionen aktualisieren (mind. OpenSSH 8.0)

2.4 TeamViewer/AnyDesk & kommerzielle Lösungen

Diese “All-in-One”-Lösungen bieten einfache Einrichtung für technisch weniger versierte Nutzer, haben aber oft Performance-Nachteile und Datenschutzbedenken.

Kriterium	TeamViewer	AnyDesk	Chrome Remote Desktop
Einrichtung	Sehr einfach	Sehr einfach	Einfach (Browser-basiert)
Performance	Mittel (Cloud-Routing)	Gut (direkte Verbindung möglich)	Abhängig von Google-Servern
Sicherheit	Ende-zu-Ende-Verschlüsselung	TLS 1.2 + RSA 2048	Google-Sicherheitsinfrastruktur
Kosten	Kostenpflichtig für gewerbliche Nutzung	Kostenpflichtig für gewerbliche Nutzung	Kostenlos
Plattformunterstützung	Windows, macOS, Linux, Mobile	Windows, macOS, Linux, Mobile	Alle Plattformen mit Chrome

2.5 Direkte IP-Verbindung (für Fortgeschrittene)

Bei dieser Methode wird eine direkte Verbindung zwischen zwei Computern über ihre öffentlichen IP-Adressen hergestellt. Dies erfordert:

• Statische oder dynamische DNS (DDNS) für wechselnde IPs
• Port-Forwarding im Router
• Firewall-Konfiguration auf beiden Seiten
• Ggf. UPnP oder manuelle Portfreigaben

Warnung: Direkte IP-Verbindungen sind sicherheitstechnisch riskant, wenn nicht richtig abgesichert. Immer starke Authentifizierung und Verschlüsselung verwenden!

3. Schritt-für-Schritt-Anleitung: Zwei Computer sicher verbinden

3.1 Vorbereitung

1. IP-Adressen ermitteln:
   • Windows: ipconfig in CMD
   • Linux/macOS: ifconfig oder ip a
   • Öffentliche IP: whatismyipaddress.com
2. Router-Konfiguration prüfen:
   • UPnP aktivieren (falls genutzt)
   • DMZ-Einstellungen prüfen
   • Firewall-Regeln notieren
3. Benötigte Software installieren:
   • Für VPN: WireGuard oder OpenVPN
   • Für RDP: Aktivieren unter “Systemeigenschaften” → “Remoteeinstellungen”
   • Für SSH: OpenSSH-Server (Windows ab 1809 integriert)

3.2 VPN-Verbindung einrichten (WireGuard-Beispiel)

Auf dem Server (Computer A):

1. WireGuard installieren:
   • Windows: Offizielle Installer
   • Linux: sudo apt install wireguard
2. Schlüsselpaar generieren:

   wg genkey | tee privatekey | wg pubkey > publickey

3. Konfigurationsdatei /etc/wireguard/wg0.conf erstellen:

   [Interface]
   PrivateKey = [Server-Privatkey]
   Address = 10.0.0.1/24
   ListenPort = 51820
   PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
   PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
   
   [Peer]
   PublicKey = [Client-Publickey]
   AllowedIPs = 10.0.0.2/32

4. WireGuard starten:

   sudo wg-quick up wg0
   sudo systemctl enable wg-quick@wg0

Auf dem Client (Computer B):

1. WireGuard installieren und Schlüsselpaar generieren
2. Konfigurationsdatei erstellen:

   [Interface]
   PrivateKey = [Client-Privatkey]
   Address = 10.0.0.2/24
   DNS = 8.8.8.8
   
   [Peer]
   PublicKey = [Server-Publickey]
   Endpoint = [Server-IP]:51820
   AllowedIPs = 10.0.0.0/24
   PersistentKeepalive = 25

3. Verbindung aktivieren und testen:

   ping 10.0.0.1

3.3 RDP-Verbindung einrichten

Auf dem Host-Computer (Windows Pro/Enterprise):

1. “Remotedesktop” in der Suche öffnen
2. “Remotedesktopverbindung mit diesem Computer zulassen” aktivieren
3. Benutzer auswählen, die Zugriff erhalten sollen
4. Firewall-Regel für Port 3389 prüfen (oder alternativen Port einrichten)

Auf dem Client-Computer:

1. “Remotedesktopverbindung” (mstsc.exe) öffnen
2. IP-Adresse oder Computername eingeben
3. Benutzername und Kennwort eingeben
4. Bei erstmaliger Verbindung das Zertifikat bestätigen

Sicherheitstipps für RDP:

• Immer Netzwerkebeneauthentifizierung (NLA) aktivieren
• Standardport 3389 auf einen nicht-standardmäßigen Port ändern
• Starke Passwörter (mind. 12 Zeichen) oder Zertifikatsauthentifizierung nutzen
• RDP nur über VPN zugänglich machen (nicht direkt aus dem Internet)

3.4 SSH-Verbindung einrichten (mit Port-Forwarding)

Auf dem Server (Linux/Windows mit OpenSSH):

1. OpenSSH-Server installieren:

   # Debian/Ubuntu
   sudo apt update && sudo apt install openssh-server
   
   # Windows (ab 1809)
   Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

2. Konfiguration anpassen (/etc/ssh/sshd_config):

   Port 2222 # Standardport ändern
   PermitRootLogin no
   PasswordAuthentication no
   PubkeyAuthentication yes
   AllowUsers yourusername

3. SSH-Server neu starten:

   sudo systemctl restart sshd

4. Firewall-Regel für den neuen Port hinzufügen

Auf dem Client:

1. SSH-Schlüssel generieren:

   ssh-keygen -t ed25519 -C "your_email@example.com"

2. Öffentlichen Schlüssel auf den Server kopieren:

   ssh-copy-id -i ~/.ssh/id_ed25519.pub -p 2222 user@server-ip

3. Verbindung herstellen:

   ssh -p 2222 user@server-ip

4. Für Port-Forwarding (z.B. Datenbankzugriff):

   ssh -L 3306:localhost:3306 -p 2222 user@server-ip

4. Performance-Optimierung für Remote-Verbindungen

4.1 Bandbreitenmanagement

Die benötigte Bandbreite hängt von der Art der Verbindung ab:

• Terminal/SSH: 10-50 kbit/s
• RDP (Büroarbeit): 1-5 Mbit/s
• RDP (Video/Bilder): 10-50 Mbit/s
• VPN (verschlüsselt): +10-20% Overhead

Optimierungstipps:

1. Komprimierung aktivieren (z.B. Compression yes in SSH)
2. Farbtiefe reduzieren (RDP: 16-bit statt 32-bit)
3. Hintergrundbild deaktivieren (RDP-Einstellungen)
4. Lokale Ressourcen (Drucker, Clipboard) nur bei Bedarf freigeben
5. Für VPN: MTU-Größe optimieren (typisch 1400-1500)

4.2 Latenz reduzieren

Latenz (Ping-Zeit) ist kritisch für interaktive Anwendungen. Ziel: < 100ms für RDP, < 50ms für Echtzeit-Anwendungen.

Ursachen hoher Latenz:

• Geografische Distanz (physikalische Grenzen)
• Überlastete Router/ISPs
• VPN-Server-Standort
• Drahtlose Verbindungen (WLAN/4G)
• Paketverluste durch schlechte Kabel

Lösungen:

1. Kabelverbindungen (LAN) statt WLAN nutzen
2. VPN-Server geografisch näher wählen
3. QoS (Quality of Service) im Router einrichten
4. Jumbo Frames aktivieren (falls unterstützt)
5. Für Spiele/VoIP: UDP statt TCP nutzen

4.3 Verschlüsselungs-Overhead minimieren

Starke Verschlüsselung ist essenziell, kann aber die Performance beeinträchtigen. Abwägung zwischen Sicherheit und Geschwindigkeit:

Verschlüsselung	Sicherheit	Performance-Impact	Empfohlen für
AES-256-GCM	Sehr hoch	Mittel (hardwarebeschleunigt)	Sensible Daten, Unternehmen
AES-128-GCM	Hoch	Gering	Standardempfehlung
ChaCha20-Poly1305	Hoch	Sehr gering (gut für Mobile)	Android, ältere Hardware
3DES	Mittel (veraltet)	Hoch	Nicht mehr verwenden
Keine	Keine	Keiner	Lokale Netzwerke (nie über Internet!)

5. Sicherheit: Risiken und Schutzmaßnahmen

5.1 Häufige Sicherheitsrisiken

• Brute-Force-Angriffe: Automatisierte Passwortangriffe auf RDP/SSH
• Man-in-the-Middle: Abhören unverschlüsselter Verbindungen
• Exploits: Ausnutzung veralteter Software (z.B. BlueKeep für RDP)
• Datenlecks: Unbeabsichtigte Freigabe sensibler Daten
• Malware-Verbreitung: Infizierte Remote-Computer als Einfallstor

5.2 Essenzielle Sicherheitsmaßnahmen

1. Authentifizierung:

• Immer Zwei-Faktor-Authentifizierung (2FA) nutzen
• Für SSH: Nur Schlüsselauthentifizierung (keine Passwörter)
• Für RDP: Netzwerkebeneauthentifizierung (NLA) aktivieren
• Regelmäßige Passwortrotation (alle 90 Tage)

2. Netzwerkschutz:

• VPN für alle Remote-Verbindungen nutzen
• Standardports ändern (z.B. RDP von 3389 auf 3390)
• Firewall-Regeln auf absolute Minimalberechtigungen beschränken
• Intrusion Detection Systeme (IDS) wie Snort einsetzen

3. Systemhärtung:

• Regelmäßige Sicherheitsupdates (automatisch einrichten)
• Unnötige Dienste deaktivieren
• Antiviren-Software mit Echtzeitschutz
• AppLocker (Windows) oder SELinux (Linux) für Anwendungscontrol

5.3 Verschlüsselungsstandards (2024)

Empfohlene Algorithmen:

• Symmetrische Verschlüsselung: AES-256-GCM oder ChaCha20-Poly1305
• Asymmetrische Verschlüsselung: RSA 4096-bit oder Ed25519
• Schlüsselaustausch: Elliptic Curve Diffie-Hellman (ECDH) mit Curve25519
• Hash-Funktionen: SHA-256 oder SHA-3

Veraltete Algorithmen (vermeiden):

• DES/3DES
• RC4
• SHA-1
• RSA < 2048-bit
• Diffie-Hellman mit < 2048-bit

Offizielle Sicherheitsrichtlinien:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt für Remote-Zugriffe:

• Nutzung von VPN mit starken Verschlüsselungsstandards
• Regelmäßige Sicherheitsaudits der Remote-Systeme
• Isolierung von Remote-Zugriffssystemen in separaten Netzwerksegmenten

Mehr Informationen in den BSI IT-Grundschutz-Katalogen.

Akademische Forschung zu Remote-Sicherheit:

Eine Studie der Stanford University (2023) zeigt, dass 68% aller erfolgreichen Cyberangriffe auf Unternehmen über schlecht gesicherte Remote-Zugriffe erfolgen. Besonders gefährdet sind:

• Systeme mit Standard-Ports (RDP 3389, SSH 22)
• Veraltete Protokollversionen (z.B. SMBv1)
• Systeme ohne regelmäßige Updates

Die vollständige Studie ist verfügbar unter: https://cyber.stanford.edu/content/critical-vulnerabilities-remote-access-systems

6. Troubleshooting: Häufige Probleme und Lösungen

6.1 Verbindung wird abgebrochen

Mögliche Ursachen:

• Instabile Internetverbindung (Paketverlust)
• Firewall blockiert die Verbindung nach Timeout
• VPN-Server überlastet
• MTU zu groß (Fragmentierung)

Lösungen:

1. Ping-Test mit ping -t (Windows) oder ping -c 100 (Linux)
2. MTU testen:

   ping -f -l 1472 server-ip

   (Größe schrittweise reduzieren, bis keine Fragmentierung mehr auftritt)
3. Firewall-Logs prüfen
4. VPN-Protokoll wechseln (z.B. von TCP zu UDP)

6.2 Langsame Verbindung

Diagnose-Schritte:

1. Bandbreite testen:
   • Lokal: iperf3 -c server-ip
   • Internet: Speedtest.net
2. Latenz messen:

   mtr server-ip

   (zeigt Hop-by-Hop-Latenz an)
3. CPU-Auslastung prüfen (Verschlüsselung kann CPU-lastig sein)

Optimierungen:

• Verschlüsselungsstärke reduzieren (z.B. von AES-256 auf AES-128)
• Komprimierung aktivieren (z.B. in SSH: Compression yes)
• QoS im Router für Remote-Verkehr priorisieren
• Bei VPN: Serverstandort wechseln (näher am Client)

6.3 Authentifizierungsfehler

Häufige Fehler:

• “Zugangsverweigerung” trotz korrekter Anmeldedaten
• “Protokollfehler” bei SSH/RDP
• Zertifikatsfehler bei VPN

Lösungen:

1. Zeitsynchronisation prüfen (NTP):

   date # Linux
   w32tm /query /status # Windows

2. Benutzerberechtigungen prüfen (z.B. id username in Linux)
3. Bei SSH: Berechtigungen für .ssh/authorized_keys prüfen:

   chmod 700 ~/.ssh
   chmod 600 ~/.ssh/authorized_keys

4. Zertifikate erneuern (bei Ablauf)

7. Alternativen: Wann welche Methode wählen?

Anforderung	Beste Lösung	Alternativen	Zu vermeiden
Maximale Sicherheit (Banken, Regierung)	IPsec-VPN mit Hardware-Tokens	WireGuard + 2FA, SSH mit Zertifikaten	TeamViewer, unverschlüsselte Verbindungen
Einfache Einrichtung (Privatnutzer)	Chrome Remote Desktop	TeamViewer, AnyDesk	Manuelle IPsec-Konfiguration
Niedrige Latenz (Gaming, VoIP)	WireGuard-VPN (UDP)	Direkte IP-Verbindung mit UDP	OpenVPN über TCP
Hohe Bandbreite (Video-Bearbeitung)	RDP mit LAN-Qualität (100+ Mbit/s)	VPN mit Jumbo Frames	SSH-X11-Forwarding
Mobile Geräte (Smartphones)	WireGuard (geringer Akkuverbrauch)	AnyDesk, Chrome Remote Desktop	OpenVPN (hoher Batterieverbrauch)
Server-Administration (Linux)	SSH mit Schlüsselauthentifizierung	Mosh (für instabile Verbindungen)	Telnet, unverschlüsseltes RDP

8. Zukunftstechnologien: Was kommt nach RDP und VPN?

8.1 WebRTC (Web Real-Time Communication)

Ermöglicht direkte Peer-to-Peer-Verbindungen zwischen Browsern ohne zusätzliche Software. Vorteile:

• Keine Installation nötig (läuft im Browser)
• Ende-zu-Ende-Verschlüsselung (DTLS-SRTP)
• Niedrige Latenz durch direkte Verbindung

Nachteile:

• STUN/TURN-Server nötig für NAT-Traversal
• Begrenzte Dateiübertragungsfunktionen
• Noch keine vollständige RDP-Alternative

8.2 Zero Trust Network Access (ZTNA)

Moderne Sicherheitsarchitektur, die traditionelle VPNs ersetzt:

• “Never trust, always verify”-Prinzip
• Granulare Zugriffskontrolle pro Anwendung
• Kein Netzwerkzugriff, nur Anwendungsebene
• Beispiele: Cloudflare Access, Zscaler Private Access

8.3 Quantenresistente Verschlüsselung

Mit dem Aufkommen von Quantencomputern werden aktuelle Verschlüsselungsstandards unsicher. NIST arbeitet an Post-Quantum-Algorithmen:

• CRYSTALS-Kyber: Schlüsselkapselungsmechanismus
• CRYSTALS-Dilithium: Digitale Signaturen
• NTRU: Gitterbasierte Verschlüsselung

Diese Algorithmen werden voraussichtlich ab 2025 in gängige Protokolle wie TLS und SSH integriert.

9. Rechtliche Aspekte beim Remote-Zugriff

9.1 Datenschutz (DSGVO/GDPR)

Beim Remote-Zugriff auf Computer mit personenbezogenen Daten gelten besondere Anforderungen:

• Verschlüsselung ist Pflicht (Art. 32 DSGVO)
• Protokollierung aller Zugriffe (Wer, Wann, Was)
• Zweckbindung: Zugriff nur für definierte Aufgaben
• Bei Drittanbieter-Lösungen (TeamViewer etc.): AV-Vertrag nötig

9.2 Arbeitsrechtliche Regelungen

Bei Remote-Zugriff auf Firmencomputer:

• Betriebsvereinbarung oder individuelle Zustimmung nötig
• Private Nutzung meist untersagt
• Arbeitszeiterfassung bei Homeoffice-Pflicht
• Haftungsfragen bei Datenverlust klären

Offizielle DSGVO-Leitlinien:

Die Europäische Datenschutzbeauftragte (EDPS) veröffentlicht regelmäßig aktualisierte Leitlinien zur sicheren Datenverarbeitung, einschließlich Remote-Zugriff:

• Verschlüsselung muss dem Stand der Technik entsprechen
• Zugangsprotokolle müssen 6 Monate aufbewahrt werden
• Bei Datenpannen muss innerhalb von 72 Stunden gemeldet werden

Aktuelle Leitlinien: https://edps.europa.eu/data-protection/our-work/publications/guidelines_en

10. Fazit: Die beste Methode für Ihre Anforderungen

Die Wahl der richtigen Methode zur Verbindung zweier Computer über das Internet hängt von Ihren spezifischen Anforderungen ab:

• Für maximale Sicherheit: WireGuard-VPN mit Hardware-2FA
• Für einfache Einrichtung: Chrome Remote Desktop oder TeamViewer
• Für Linux-Server: SSH mit Schlüsselauthentifizierung
• Für Windows-Remote-Arbeit: RDP über VPN
• Für mobile Nutzer: WireGuard oder Tailscale
• Für hohe Performance: Direkte IP-Verbindung mit UDP

Unsere Empfehlung für die meisten Nutzer:

1. WireGuard-VPN für die sichere Basisverbindung einrichten
2. Darüber dann je nach Bedarf RDP, SSH oder Dateifreigaben nutzen
3. Zwei-Faktor-Authentifizierung für alle Remote-Zugriffe aktivieren
4. Regelmäßige Sicherheitsaudits durchführen

Mit den richtigen Werkzeugen und Sicherheitsvorkehrungen können Sie zwei Computer sicher und effizient über das Internet verbinden – egal ob für die Arbeit, den Support von Familienmitgliedern oder die Verwaltung von Servern.