# 🌐 Crumbpage 16: VPN - Der Geheimgang **Subtitle:** *Sicher durch das unsichere Netz* **Pfad:** 16 von X **Schwierigkeit:** ⭐⭐⭐ (3/5) **Zeit:** ~2 Stunden **Voraussetzungen:** [Netzwerk Basics](crumbpage-06-netzwerk.md), [SSH Basics](crumbpage-07-ssh-basics.md) > *"Das Internet ist ein dunkler Wald. Ein VPN ist dein unsichtbarer Umhang."* 🕵️‍♂️ --- ## 📋 Was du in diesem Pfad lernst ``` ✓ Konzept: Tunnel & Verschlüsselung ✓ Protokolle: OpenVPN, WireGuard, IPsec ✓ Praxis: OpenRouter & Config Files (.ovpn) ✓ Security: Split-Tunneling vs. Full-Tunneling ✓ Troubleshooting: Routing & MTU ``` --- ## 🎯 Lernziele Nach diesem Pfad kannst du: - [ ] Erklären, wie ein VPN deine Daten schützt - [ ] Eine `.ovpn` Datei verstehen und nutzen - [ ] Routing-Probleme im Tunnel diagnostizieren - [ ] Den Unterschied zwischen "Firmen-VPN" und "Privacy-VPN" verstehen --- ## 🌱 Grundkonzepte ### Konzept 1: Der Tunnel Stell dir vor, du schickst einen Brief (Datenpaket) durch eine gläserne Rohrpost (Internet). Jeder kann sehen, an wen er geht und was drin steht (Header & Payload). Ein **VPN (Virtual Private Network)** ist wie ein gepanzertes Rohr *innerhalb* des gläsernen Rohrs. 1. **Encapsulation:** Dein Brief wird in einen neuen Umschlag gesteckt. 2. **Encryption:** Der Inhalt wird unlesbar gemacht. 3. **Authentication:** Nur Sender und Empfänger haben den Schlüssel. ### Konzept 2: Protokolle - **OpenVPN:** Der Klassiker. Sehr flexibel, nutzt SSL/TLS (wie HTTPS). Läuft meist über UDP 1194 (oder TCP 443 um Firewalls zu umgehen). Stabil, aber etwas langsamer ("Context Switches"). - **WireGuard:** Der neue Star. Extrem schnell, moderne Kryptographie, weniger Code (weniger Bugs). Läuft im Kernel-Space (Linus Torvalds approved). - **IPsec/IKEv2:** Der alte Enterprise-Standard. Oft native in OS integriert, aber komplex zu konfigurieren. --- ## 🔧 Praxis: OpenRouter VPN In deinem Szenario ("OpenRouter") hast du spezielle Regeln und Zugriff auf verteilte Home-Verzeichnisse. Das klingt nach einem **Site-to-Site** oder **Remote-Access** Setup mit granularer Access Control. ### Verbindung aufbauen (Linux Client) Meistens bekommst du eine Konfigurationsdatei (`client.ovpn` oder `wg0.conf`). **OpenVPN (Terminal):** ```bash sudo openvpn --config mein-zugang.ovpn ``` *Pro-Tipp: Starte es in `tmux` oder als Service, damit es nicht stirbt, wenn du das Terminal schließt.* **NetworkManager (GUI):** 1. Einstellungen -> Netzwerk 2. `+` (Hinzufügen) -> VPN -> Import from file... 3. Wähle die `.ovpn` Datei. ### Routing & "Eigene Regeln" Ein VPN kann zwei Modi haben: 1. **Full Tunnel (Redirect Gateway):** - *Alles* geht durch den Tunnel (Internet surfen, Spotify, Arbeit). - Deine öffentliche IP ist die des VPN-Servers. - **Vorteil:** Sicherheit im Café WLAN. - **Nachteil:** Langsam, Netflix motzt evtl. 2. **Split Tunnel:** - Nur Traffic für spezifische Netze (z.B. `10.0.0.0/8` - das RZ) geht durch den Tunnel. - Surfen geht weiterhin direkt über deinen Provider. - **Vorteil:** Performance. - **Risiko:** Wenn DNS nicht auch getunnelt wird -> **DNS Leak**! --- ## 🔍 Troubleshooting Checkliste Wenn "nichts geht", obwohl der Tunnel steht: 1. **Ping durch den Tunnel?** `ping 10.10.x.1` (Gateway Adresse). Geht das nicht -> Tunnel kaputt. 2. **Routing Table prüfen:** `ip route show` Siehst du Routen für das Zielnetz, die auf das `tun0` Interface zeigen? 3. **DNS?** Wenn `ping 10.10.x.1` geht, aber `ping fileserver.internal` nicht -> DNS Problem! Nutzt du den internen DNS Server? (siehe `crumbpage-15-dns.md`) 4. **MTU (Maximum Transmission Unit):** Manchmal ist das Paket inkl. VPN-Header zu groß für die Leitung. *Symptom:* Ping (klein) geht, SSH (groß) hängt. *Fix:* `mssfix` in OpenVPN Config. --- ## 🦉 Crystal Owl's Weisheit > *"Ein VPN macht dich nicht anonym, es verschiebt nur das Vertrauen vom Café-Besitzer zum VPN-Betreiber."* ``` Krümel-Tipp: Wenn du im Homeoffice bist und auf einmal der Drucker nicht mehr geht -> Check ob du im "Full Tunnel" bist und dein lokales LAN nicht mehr erreichen darfst! ``` --- **Version:** 1.0 **Status:** Draft **Tags:** #VPN #OpenVPN #Security #RemoteWork --- **Navigation:** [← Zurück: DNS](crumbpage-15-dns.md) | [Weiter: Workstation →](crumbpage-17-workstation.md)