Um mal kurz den Unterschied zwischen einem echten VPN und einem Privacy-Tunnel zu beleuchten:
Ein VPN stellt eine Verbindung zwischen
- zwei vertrauenswürdigen (Teil-)Netzen
oder
- einem vertrauenswürdigen Netz und einem einzelnen Client ("Road Warrior")
durch einen verschlüsselten Tunnel über nicht vertrauenswürdige fremde Netze (Internet, fremde LANs/WLANs) her.
Also laienhaft:
Es verbindet Netze/Clients die man auch ohne Bedenken mittels Kabel verbinden würde über Distanzen für die es keine Kabel gibt, indem es einen sicheren Tunnel durch schon vorhandene unsichere Netze baut.
Beispiele:
1. Eine Verbindung zwischen dem eigenen Heimnetz und dem der an einem anderen Ort wohnenden Eltern, um komfortabel dort bei der Einstellung von Geräten helfen zu können, ohne diese direkt ins Internet öffnen zu müssen.
2. Die gesicherte Anbindung eines Arbeits-PCs zuhause im "Home Office" an das Firmennetz mit vollem Zugriff auf Firmenserver, die nicht im Internet erreichbar sein sollen/dürfen, z.B. File-Server mit Konstruktionszeichnungen, Elektroplänen, ... oder das Warenwirtschaftssystem.
Wenn man nur Freunde/Familie/Bekannte anbindet deren Computerkünsten man vertraut, insbesondere im Hinblick darauf, keine Viren/Trojaner einzubringen, kann man natürlich auch CS über VPNs laufen lassen.
Angenommen, man hätte als Clients diese Personen mit diesen Heimnetzen ...
192.168.4.x Onkel Werner
192.168.11.x Tante Erna
192.168.17.x Eltern
192.168.29.x Schwiegereltern
192.168.35.x eigenes Heimnetz
... dann kann man durch entsprechende VPN-Verbindungen diese Teilnetze zu einem großen Netzwerk verschalten.
Die E2-Clients von Onkel Werner, Tante Erna, den Eltern und Schwiegereltern können danach den eigenen CS-Server genauso unter z.B. 192.168.36.5 erreichen, wie zuvor alle Rechner/E2-Boxen im Netz 192.168.36.x, womit man den CS-Server dann auch nicht mehr ins Internet zu öffnen braucht.
Nun zum Vergleich die diversen Privacy-Tunnel, die in letzter Zeit den Begriff "VPN" kapern und mißbrauchen:
Diese Tunnel-Anbieter bieten dem Kunden eine alternative Anbindung ans Internet an, wobei das Verkaufsargument ist, daß es beim eigentlichen Internetprovider (Also Telekom, Vodafone, Unitymedia, 1&1, ...) aufgrund der rechtlichen Rahmenbedingungen eine Vorratsdatenspeicherung gibt und die dortige IP jederzeit an jeden Rechtsverdreher/Abmahnanwalt rausgerückt würde.
Der Tunnel-Anbieter verspricht, diese Daten eben nicht zu speichern und/oder nicht herauszurücken.
Durch diese Tunnel hindurch - die teilweise Software für VPN-Lösungen benutzen, daher die Verwechslung mit VPNs - erhält der Kunde also eine zweite öffentliche IP-Adresse (und/oder ein öffentliches IPv6-Subnet).
Die richtige Bezeichnung wäre also "virtuelles WAN", "virtueller Internetzugang", "virtual Access Provider" oder "Virtual Internet Provider".
Der Kunde erhofft sich von diesem virtual WAN, daß eine Rückverfolgung für alles was er über dieses virtual WAN erledigt nicht möglich ist.
Ob sich diese Hoffnung erfüllt, insbesondere wenn die Zugänge in Europa liegen, lassen wir mal außen vor ...
Das Problem ist aber ein anderes:
Genauso wie man an ein Kabel- oder DSL-Modem nicht direkt einen E2-Receiver hängen würde, sondern einen Router dazwischenschaltet, sollte man eben auch keinen virtuellen Internetzugang direkt auf der E2-Box enden lassen.
Die E2-Boxen sind nicht darauf ausgelegt gegen Fremdzugriffe sicher zu sein, bei denen ist per default wirklich alles offen, vom NFS-Server über den Samba-Server, Telnet, ssh, Web-Interface, einfach alles.
Egal ob man sie physikalisch direkt an ein Kabel-/DSL-Modem oder Glasfaser-Medienkonverter hängt oder das Internet ungefiltert über eine virtuelle Schnittstelle hineinholt, sie ist gegenüber Zugriffen über diese nicht sicher.
Man durchbohrt quasi die Firewall des eigenen Routers!
Die diversen Privacy-Tunnel bieten i.d.R. zwar die Konfiguration einer Firewall zwischen Internet und virtuellem Internetzugang auf ihrer Seite des Tunnels an, aber mal ganz ehrlich:
Wieso sollte man jemandem vertrauen, der zumeist anonym ist und damit wirbt, ein für illegale Aktivitäten optimiertes Produkt anzubieten?
Aus diesem Grund sollte ein virtueller Internetzugang auch nur dort enden, wo auch der physikalische Internetzugang endet: Auf dem eigenen Router, vor der Firewall.
Mit einem auf OpenWrt/LEDE basierenden Router kann man ganz wunderbar den Privacy Tunnel als "VWAN" einrichten und damit einerseits sein eigenes LAN vor Zugriffen aus diesem VWAN schützen und man kann das VWAN auch effektiver Nutzen, nämlich mit allen Geräten im LAN.
Man kann sogar durch entsprechende Routing-Regeln bestimmen, daß
- jeglicher Traffic durch die physikalische WAN-Anbindung soll, außer bestimmter böser, der durch das VWAN soll (Blacklisting)
oder
- jeglicher Traffic durch das virtuelle WAN, außer bestimmter ungefährlicher, der direkt durch das physikalische WAN soll (Whitelisting)
