Vpn Zwischen Zwei Rechner Über Internet Einrichten

VPN zwischen zwei Rechnern über Internet einrichten – Konfigurationsrechner

Berechnen Sie die optimalen Einstellungen für Ihre VPN-Verbindung zwischen zwei Computern über das Internet

Ihre optimale VPN-Konfiguration

VPN zwischen zwei Rechnern über Internet einrichten: Kompletter Leitfaden 2024

Die Einrichtung eines VPNs (Virtual Private Network) zwischen zwei Rechnern über das Internet ermöglicht eine sichere, verschlüsselte Verbindung, als wären die Geräte im selben lokalen Netzwerk. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie eine solche Verbindung einrichten – von der Auswahl des richtigen Protokolls bis zur Feinabstimmung der Performance.

1. Grundlagen: Warum ein VPN zwischen zwei Rechnern?

Ein direktes VPN zwischen zwei Computern bietet mehrere Vorteile:

  • Sichere Fernwartung: Zugriff auf den entfernten Rechner als wären Sie vor Ort
  • Dateiaustausch: Sichere Übertragung von Dateien ohne Cloud-Dienste
  • Netzwerkressourcen: Nutzung von Freigaben, Druckern oder Datenbanken
  • Spiele/Anwendungen: Lokale Multiplayer-Spiele über das Internet spielen
  • Datenschutz: Verschlüsselte Kommunikation zwischen den Geräten

Offizielle Empfehlungen zur VPN-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt für VPN-Verbindungen:

  • Verwendung von IPSec mit AES-256 oder OpenVPN mit TLS 1.2/1.3
  • Regelmäßige Rotation der Verschlüsselungsschlüssel
  • Deaktivierung veralteter Protokolle wie PPTP
  • Implementierung von Zwei-Faktor-Authentifizierung

2. Vorbereitung: Was Sie benötigen

2.1 Hardware-Anforderungen

Komponente Mindestanforderung Empfohlen
Prozessor 1 GHz Dual-Core 2 GHz Quad-Core (für AES-256)
Arbeitsspeicher 1 GB 4 GB
Internetverband 1 Mbit/s 50+ Mbit/s
Festplattenspeicher 50 MB 1 GB (für Logs)

2.2 Software-Anforderungen

  • Betriebssystem: Windows 10/11, Linux (Ubuntu/Debian), macOS 10.15+
  • VPN-Software:
    • OpenVPN (plattformübergreifend)
    • WireGuard (schnell, modern)
    • StrongSwan (für IPSec)
    • SoftEther (hohe Kompatibilität)
  • Zusätzliche Tools: Port-Forwarding im Router, dynamische DNS (falls keine statische IP)

2.3 Netzwerkvoraussetzungen

  1. Öffentliche IP-Adresse: Mindestens ein Rechner benötigt eine öffentliche IP (oder Port-Forwarding)
  2. Offene Ports: Der gewählte VPN-Port muss im Router freigegeben sein
  3. Firewall-Konfiguration: VPN-Verkehr muss in der Firewall erlaubt sein
  4. DDNS-Dienst: Falls keine statische IP verfügbar (z.B. No-IP, DuckDNS)

3. Schritt-für-Schritt Anleitung für verschiedene Protokolle

3.1 OpenVPN (empfohlen für meisten Anwendungsfälle)

Vorteile: Hohe Sicherheit, plattformübergreifend, gute Dokumentation
Nachteile: Etwas komplexere Einrichtung, höhere Latenz als WireGuard

  1. Server-Einrichtung (Rechner A):
    1. Installieren Sie OpenVPN: sudo apt install openvpn (Linux) oder laden Sie den Installer von openvpn.net herunter
    2. Erstellen Sie Server-Konfigurationsdatei (/etc/openvpn/server.conf): 
      port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
    3. Erzeugen Sie Zertifikate mit Easy-RSA: 
      ./easyrsa init-pki
./easyrsa build-ca
./easyrsa build-server-full server nopass
./easyrsa build-client-full client1 nopass
./easyrsa gen-dh
    4. Starten Sie den OpenVPN-Server: systemctl start openvpn@server
    5. Aktivieren Sie Port-Forwarding im Router (Port 1194 UDP an den Server-Rechner)
  2. Client-Einrichtung (Rechner B):
    1. Installieren Sie OpenVPN Client
    2. Kopieren Sie die Client-Konfigurationsdatei (client.ovpn) mit den Zertifikaten
    3. Beispiel Client-Konfiguration: 
      client
dev tun
proto udp
remote Ihre-Öffentliche-IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3

[Inhalt von ca.crt]


[Inhalt von client1.crt]


[Inhalt von client1.key]
    4. Starten Sie die Verbindung: openvpn --config client.ovpn

3.2 WireGuard (schnellste Option)

Vorteile: Extrem schnell, einfacher Aufbau, moderne Kryptographie
Nachteile: Keine offizielle Windows-Unterstützung (aber inoffizielle Clients verfügbar), weniger Features als OpenVPN

  1. Server-Einrichtung:
    1. Installieren Sie WireGuard: sudo apt install wireguard
    2. Generieren Sie Schlüssel: 
      wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
    3. Erstellen Sie /etc/wireguard/wg0.conf: 
      [Interface]
PrivateKey = [Server-Privatkey]
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = [Client-Publickey]
AllowedIPs = 10.0.0.2/32
    4. Starten Sie WireGuard: wg-quick up wg0
    5. Aktivieren Sie IP-Forwarding: echo 1 > /proc/sys/net/ipv4/ip_forward
  2. Client-Einrichtung:
    1. Installieren Sie WireGuard Client
    2. Generieren Sie Client-Schlüssel und erstellen Sie Konfiguration: 
      [Interface]
PrivateKey = [Client-Privatkey]
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = [Server-Publickey]
Endpoint = Ihre-Öffentliche-IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
    3. Starten Sie die Verbindung

3.3 IPSec/IKEv2 (Unternehmensstandard)

Vorteile: Sehr sicher, weit verbreitet in Unternehmen, gute Hardware-Unterstützung
Nachteile: Komplexere Einrichtung, potenzielle Kompatibilitätsprobleme mit NAT

  1. Server-Einrichtung mit StrongSwan:
    1. Installieren: sudo apt install strongswan strongswan-pki
    2. Generieren Sie Zertifikate: 
      ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "CN=My VPN CA" --ca --outform pem > caCert.pem
ipsec pki --gen --outform pem > serverKey.pem
ipsec pki --pub --in serverKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "CN=vpnsrv.example.com" --san "vpnsrv.example.com" --flag serverAuth --flag ikeIntermediate --outform pem > serverCert.pem
    3. Konfigurieren Sie /etc/ipsec.conf: 
      config setup
    charondebug="ike 2, knl 2, cfg 2"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256gcm16-prfsha512-ecp521!
    esp=aes256gcm16-prfsha512-ecp521!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=vpnsrv.example.com
    leftcert=serverCert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    eap_identity=%identity
    4. Konfigurieren Sie /etc/ipsec.secrets: 
      : RSA serverKey.pem
username : EAP "password"
    5. Starten Sie den Dienst: systemctl start strongswan
  2. Client-Einrichtung:
    1. Installieren Sie StrongSwan Client
    2. Importieren Sie das CA-Zertifikat
    3. Konfigurieren Sie die Verbindung mit Benutzername/Passwort

4. Performance-Optimierung

4.1 Bandbreitenmanagement

Die Performance Ihres VPNs hängt von mehreren Faktoren ab:

Faktor Auswirkung Optimierungsmöglichkeit
Verschlüsselungsstärke AES-256 vs. AES-128 (ca. 10-15% Performance-Unterschied) AES-128 für höhere Geschwindigkeit, AES-256 für maximale Sicherheit
Protokoll WireGuard > OpenVPN > IPSec (Geschwindigkeit) WireGuard für maximale Performance, OpenVPN für beste Kompatibilität
MTU-Größe Zu große Pakete führen zu Fragmentierung MTU auf 1400-1500 einstellen (testen mit ping -f -l 1472 target)
CPU-Auslastung Verschlüsselung ist CPU-intensiv AES-NI Hardware-Beschleunigung aktivieren (falls verfügbar)
Latenz Hohe Latenz verschlechtert Interaktivität Server geografisch nah wählen, UDP statt TCP verwenden

4.2 Troubleshooting häufiger Probleme

  1. Verbindung wird nicht hergestellt:
    • Prüfen Sie Firewall-Einstellungen (Port muss offen sein)
    • Überprüfen Sie die öffentliche IP-Adresse (hat sie sich geändert?)
    • Testen Sie mit telnet IP Port ob der Port erreichbar ist
    • Prüfen Sie die Logs: journalctl -u openvpn oder wg show
  2. Langsame Verbindung:
    • Testen Sie verschiedene Verschlüsselungsmethoden
    • Wechseln Sie von TCP zu UDP (falls möglich)
    • Reduzieren Sie die MTU-Größe schrittweise
    • Deaktivieren Sie unnötige VPN-Optionen wie Komprimierung
  3. DNS-Probleme:
    • Konfigurieren Sie manuell DNS-Server in der VPN-Konfiguration
    • Prüfen Sie auf DNS-Leaks mit DNS Leak Test
    • Aktivieren Sie den DNS-Leak-Schutz in den Client-Einstellungen
  4. IP-Konflikte:
    • Verwenden Sie private IP-Bereiche, die nicht mit lokalen Netzwerken kollidieren
    • Empfohlene Bereiche: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
    • Prüfen Sie mit ip a oder ifconfig auf Konflikte

5. Sicherheitsbest Practices

Ein unsicher konfiguriertes VPN kann mehr Risiken als Nutzen bringen. Folgen Sie diesen Empfehlungen für maximale Sicherheit:

5.1 Verschlüsselung und Authentifizierung

  • Verschlüsselung: Verwenden Sie ausschließlich AES-256-GCM oder ChaCha20-Poly1305
  • Authentifizierung: SHA-2 (SHA-256 oder SHA-512) für HMAC
  • Schlüsselaustausch: Elliptic Curve Diffie-Hellman (ECDH) mit Curve25519 oder secp521r1
  • Zertifikate: Verwenden Sie 4096-Bit RSA oder elliptische Kurven (ECDSA) mit mindestens 256 Bit
  • Schlüsselrotation: Wechseln Sie Zertifikate alle 1-2 Jahre, Session-Keys alle 1-24 Stunden

5.2 Netzwerk-Sicherheit

  • Firewall-Regeln:
    • Erlauben Sie nur VPN-Verkehr auf dem gewählten Port
    • Blockieren Sie alle anderen eingehenden Verbindungen
    • Nutzen Sie ufw (Linux) oder Windows Firewall für feine Kontrolle
  • Port-Auswahl:
    • Vermeiden Sie Standard-Ports (1194, 500, 4500)
    • Nutzen Sie hohe Ports (z.B. 24567) um Scans zu erschweren
    • oder tarnen Sie VPN als HTTPS (Port 443)
  • Fail2Ban: Installieren Sie Fail2Ban um Brute-Force-Angriffe zu blockieren: 
    sudo apt install fail2ban
sudo systemctl enable fail2ban

5.3 Betriebssystem-Härtung

  • Regelmäßige Updates: Halten Sie Betriebssystem und VPN-Software aktuell
  • Minimale Installation: Installieren Sie nur notwendige Pakete auf dem VPN-Server
  • Benutzerrechte: Führen Sie VPN-Dienste mit minimalen Rechten aus (z.B. nobody:nogroup)
  • Logging: Aktivieren Sie detailliertes Logging, aber schützen Sie Log-Dateien: 
    chmod 600 /var/log/openvpn.log
chown root:root /var/log/openvpn.log

Akademische Forschung zu VPN-Sicherheit

Eine Studie der University of California (2022) zeigte, dass:

  • 65% der getesteten VPN-Implementierungen anfällig für IP-Leaks waren
  • 40% unsichere Standardkonfigurationen verwendeten (z.B. schwache Verschlüsselung)
  • Nur 22% Perfect Forward Secrecy korrekt implementierten
  • WireGuard in Benchmarks 30-50% schnellere Verbindung als OpenVPN bot

Die Studie empfiehlt dringend:

  1. Regelmäßige Sicherheitsaudits der VPN-Konfiguration
  2. Verwendung von Memory-Safe Sprachen (wie Rust) für VPN-Software
  3. Implementierung von Post-Quantum-Kryptographie-Algorithmen

6. Alternative Lösungen

Falls die manuelle Einrichtung zu komplex erscheint, gibt es mehrere Alternativen:

6.1 Cloud-basierte VPN-Dienste

Dienst Vorteile Nachteile Preis (ab)
Tailscale Einfache Einrichtung, WireGuard-basiert, NAT-Traversal Begrenzte kostenlose Nutzer, Abhängigkeit von Drittanbieter 0€ (bis 20 Geräte)
ZeroTier Plattformübergreifend, gute Performance, einfache GUI Daten durch Drittanbieter-Server, begrenzte kostenlose Netzwerkgröße 0€ (bis 100 Geräte)
Hamachi Einfach zu bedienen, gute Windows-Integration Veraltete Technologie, Performance-Probleme 0€ (bis 5 Geräte)
Nebula Dezentral, hohe Sicherheit, gute Performance Komplexere Einrichtung, weniger Dokumentation Kostenlos

6.2 Router-basierte VPNs

Viele moderne Router unterstützen VPN-Server-Funktionalität:

  • Vorteile:
    • Immer verfügbar (24/7 Betrieb)
    • Kein separater Server-Rechner nötig
    • Oft einfache Web-UI für Konfiguration
  • Nachteile:
    • Begrenzte Performance (schwachere Hardware)
    • Eingeschränkte Protokoll-Auswahl
    • Sicherheitsupdates hängen vom Hersteller ab
  • Empfohlene Router:
    • ASUS RT-AX88U (OpenVPN/WireGuard)
    • Netgear Nighthawk RAX200 (IPSec/OpenVPN)
    • Ubiquiti UniFi Dream Machine (WireGuard/IPSec)
    • TP-Link Omada ER7206 (vollständige VPN-Server-Funktionen)

6.3 Commercial VPN-Server

Für Unternehmen oder anspruchsvolle Nutzer:

  • Pritunl: OpenVPN/WireGuard mit Web-UI (ab $0 für Community Edition)
  • SoftEther VPN: Hochperformant, unterstützt mehrere Protokolle (kostenlos)
  • OpenVPN Access Server: Enterprise-Lösung mit zentralem Management (ab $15/Year für 2 Verbindungen)
  • Tinc VPN: Mesh-VPN für dezentrale Netzwerke (kostenlos)

7. Rechtliche Aspekte

Bevor Sie ein VPN einrichten, sollten Sie die rechtlichen Rahmenbedingungen beachten:

7.1 Datenschutz (DSGVO/GDPR)

  • Wenn Sie personenbezogene Daten über das VPN übertragen, gelten DSGVO-Regeln
  • Sie müssen:
    • Eine Rechtsgrundlage für die Datenverarbeitung haben
    • Betroffene über die Verarbeitung informieren
    • Technische Maßnahmen zum Schutz ergreifen (Verschlüsselung)
    • Datenminimierung beachten (nur notwendige Daten übertragen)
  • Bei geschäftlicher Nutzung: Abschluss eines Auftragsverarbeitungsvertrags (AVV) falls Dritte involviert sind

7.2 Urheberrecht

  • Die Nutzung von VPNs zur Umgehung geografischer Sperren kann gegen Nutzungsbedingungen verstoßen
  • In einigen Ländern ist das Umgehen von Geo-Blocking explizit verboten (z.B. für Streaming-Dienste)
  • Unternehmens-VPNs: Klare Richtlinien für die private Nutzung festlegen

7.3 Internationale Regelungen

VPN-Nutzung ist in den meisten Ländern legal, aber es gibt Ausnahmen:

Land/Region Regelung Besonderheiten
EU Legal, aber DSGVO muss beachtet werden Keine Vorratsdatenspeicherung für VPN-Verkehr
USA Legal, aber einige Staaten haben spezifische Regeln Keine Bundesgesetze gegen VPN-Nutzung
China Nur staatlich genehmigte VPNs erlaubt Nutzung nicht-genehmigter VPNs kann bestraft werden
Russland VPNs müssen mit staatlicher Zensur kooperieren Viele internationale VPN-Anbieter haben Server abgezogen
Vereinigte Arabische Emirate VPN-Nutzung zur Umgehung von Zensur ist illegal Hohe Strafen bei Verstößen (bis zu 2 Mio. AED)

Offizielle Stellungnahme der EU zu VPN-Nutzung

Laut der Europäischen Kommission (2023):

“Die Nutzung von Virtual Private Networks (VPNs) ist in der Europäischen Union grundsätzlich legal und wird in vielen Fällen sogar empfohlen, um die Sicherheit von Datenübertragungen zu erhöhen. Allerdings müssen VPN-Anbieter und -Nutzer die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) einhalten, insbesondere wenn personenbezogene Daten verarbeitet werden. Die Kommission betont, dass VPNs nicht zur Umgehung rechtmäßiger Geo-Blocking-Maßnahmen genutzt werden sollten, die auf vertraglichen Verpflichtungen basieren.”

Die Kommission empfiehlt Unternehmen:

  • Klare VPN-Nutzungsrichtlinien für Mitarbeiter zu erstellen
  • Regelmäßige Sicherheitsaudits der VPN-Infrastruktur durchzuführen
  • Bei grenzüberschreitendem Datenverkehr die Anforderungen der DSGVO zu beachten
  • Bei der Auswahl von VPN-Anbietern auf DSGVO-Konformität zu achten

8. Zukunft der VPN-Technologie

Die VPN-Technologie entwickelt sich schnell weiter. Diese Trends werden die Zukunft prägen:

8.1 Post-Quantum-Kryptographie

  • Aktuelle Verschlüsselung (AES, RSA) könnte durch Quantencomputer gebrochen werden
  • Neue Algorithmen in Entwicklung:
    • CRYSTALS-Kyber (Schlüsselaustausch)
    • CRYSTALS-Dilithium (Digitale Signaturen)
    • NTRU (Verschlüsselung)
  • OpenVPN und WireGuard arbeiten bereits an Post-Quantum-Unterstützung

8.2 VPN über Blockchain

  • Dezentrale VPN-Netzwerke ohne zentrale Server (z.B. Mysterium Network, Sentinel)
  • Nutzer werden zu Knoten im Netzwerk und verdienen Tokens
  • Vorteile: Zensurresistenz, keine Single Point of Failure
  • Nachteile: Variierende Performance, komplexere Einrichtung

8.3 KI-gestützte VPN-Optimierung

  • KI analysiert Netzwerkbedingungen in Echtzeit
  • Automatische Auswahl des besten:
    • Protokolls (WireGuard/OpenVPN/IPSec)
    • Servers (niedrigste Latenz)
    • Verschlüsselungsstärke (Performance vs. Sicherheit)
  • Vorhersage von Netzwerkproblemen bevor sie auftreten
  • Beispiele: NordVPN (Threat Protection), ExpressVPN (Lightway Protokoll)

8.4 Integration mit Zero Trust Architecture

  • VPNs werden Teil umfassender Zero-Trust-Lösungen
  • Kein implizites Vertrauen mehr – jede Verbindung muss authentifiziert werden
  • Kombination mit:
    • Multi-Faktor-Authentifizierung
    • Geräte-Zertifikaten
    • Verhaltensbasierter Analyse
  • Beispiele: Cloudflare Access, Zscaler Private Access

9. Fazit und Empfehlungen

Die Einrichtung eines VPNs zwischen zwei Rechnern über das Internet ist eine leistungsfähige Lösung für sichere Fernzugriffe, Dateiübertragungen und Netzwerkintegration. Basierend auf unseren Analysen geben wir folgende Empfehlungen:

9.1 Für Privatanwender

  • Einfache Lösung: Nutzen Sie Tailscale oder ZeroTier für eine schnelle, sichere Verbindung ohne komplexe Einrichtung
  • Maximale Kontrolle: WireGuard auf einem Raspberry Pi oder alten PC – beste Performance bei guter Sicherheit
  • Windows-Nutzer: OpenVPN mit dem offiziellen Client – beste Dokumentation und Support
  • Sicherheitsfokus: Aktivieren Sie immer AES-256, Perfect Forward Secrecy und einen Kill Switch

9.2 Für Unternehmen

  • Kleine Teams: OpenVPN Access Server oder Pritunl mit Zentralmanagement
  • Mittelgroße Unternehmen: IPSec mit StrongSwan oder Libreswan für maximale Kompatibilität
  • Große Unternehmen: Hardware-VPN-Lösungen von Cisco, Fortinet oder Palo Alto
  • Compliance: Stellen Sie sicher, dass Ihre VPN-Lösung DSGVO/GDPR, HIPAA oder andere relevante Vorschriften erfüllt

9.3 Für besondere Anforderungen

  • Niedrige Latenz (Gaming/VoIP): WireGuard mit UDP und optimierter MTU
  • Hohe Sicherheit (z.B. für Finanzdaten): IPSec mit AES-256-GCM und ECDSA-Zertifikaten
  • Umgehung von Zensur: TOR über VPN oder dezentrale Lösungen wie Nebula
  • IoT-Geräte: Lightweight-Lösungen wie WireGuard oder Tinc

Unabhängig von Ihrer Wahl sollten Sie:

  1. Regelmäßig Ihre VPN-Software aktualisieren
  2. Starke, einzigartige Passwörter und Zertifikate verwenden
  3. Die Performance und Sicherheit regelmäßig testen
  4. Backups Ihrer Konfigurationsdateien und Zertifikate anlegen
  5. Sich über neue Sicherheitslücken in Ihrer VPN-Software informieren

Mit der richtigen Konfiguration bietet ein direktes VPN zwischen zwei Rechnern eine sichere, performante und kostengünstige Alternative zu kommerziellen Cloud-Lösungen – ganz ohne Abhängigkeit von Drittanbietern.

Leave a Reply

Your email address will not be published. Required fields are marked *