Free VPN Selfhosted sowohl als auch Online

[------]

Hallo,

ich bin auf der Suche nach einem guten VPN anbieter.

Die Frage bezieht sich dabei auf zwei Dinge:

Zum einen ein SelfHosted VPN basierend auf Docker, welches "Out-of-the-Box" funktioniert.

Es gibt einige Images und Compose Files, allerdings werfen die meisten einfachste Probleme auf welche ich selbst ohne langes gefuchtel nicht gelöst bekomme.

Zuletzt habe ich linuxserver/wireguard ausprobiert und musste feststellen das die automatisch generierte Config auf dem PC einen Error aufweist.

Auf dem Handy funktioniert diese, allerdings funktioniert die Verbindung mit dem Internet nicht.

 

Zum anderen Suche ich einen vertrauenswürdigen Online VPN Anbieter, welcher zum einen nichts kostet und zum anderen sicher/vertrauenswürdig ist.

Könnt Ihr da einen Empfehlen? Wenn ja wieso gerade dieser und was macht Ihn eurer Meinung nach zu einem sicheren/vertrauenswürdigen Anbieter?

 

Viele Grüße und einen guten Rutsch

Bearbeitet 30. Dezember 2022 von n0nam3

[alex123321]

Bevor über eine technische Lösung nachgedacht werden kann, solltest du deine Ziele erläutern.

Wofür das Ganze und wie sind die Rahmenbedingungen?

[------]

Ziel ist die Absicherung meines Datenverkehrs gegen MITM und ähnliche Attacken.

Ich bin oft in verschiedenen Netzwerken und über mein Datenvolumen (LTE) verbunden, daher wäre eine Absicherung ratsam.

Rahmenbedingungen sind das ich sowohl Mobil, als auch am PC einen VPN Client benötige und meine Daten sicher sind, also vom Betreiber (wenn ichs nicht selbst hoste), nicht eingesehen werden (können?) und nicht missbraucht werden.

Wenn ich dem Betreiber des VPNs nicht trauen kann dann bringt mir die Absicherung gegen MITM und ähnliches nichts.

[Dr. Octagon]

Würde Dir hier erstmal ne reguläre Fritzbox empfehlen... damit kannste Dir ganz einfach n eigenes, sicheres VPN basteln, das verschlüsselt bis an Deinen häuslichen Anschluss, also von egal wo auf der Welt, Deine Daten sendet und erst dann wieder regulär ins Internet lässt - heißt: verschlüsselt bis nach Hause, ab dann wieder "as is"! Somit sind alle Deine bisher genannten Pfeiler gestützt, oder kommt jetzt doch noch mehr?

[------]

Eine FritzBox ist leider keine Option da ich ausschließlich über LTE surfe :)

[Dr. Octagon]

Eines muss Dir klar sein: Ein Anbieter, der dafür nichts haben will... kann nicht seriös arbeiten... und bei den anderen muss man eben einfach vertrauen - mehr kann man nicht tun. Bei den Bezahldiensten finde ich übrigens folgendes interessant: "Wenn Anonymität die oberste Priorität hat und man auf Streaming verzichten kann, erstellt man sich ein anonymes Profil bei Mullvad, das man bestenfalls bar bezahlt (5 Eur/Monat). Wer stattdessen Mozilla VPN abonniert, nutzt übrigens ebenfalls das VPN-Netz von Mullvad – zahlt für dieselbe Leistung jedoch etwas höhere Gebühren und muss ein Nutzerkonto ohne anonyme Bezahlmöglichkeit anlegen." Quelle: https://www.heise.de/download/specials/Anonym-surfen-mit-VPN-Die-besten-VPN-Anbieter-im-Vergleich-3798036

[alex123321]

Was sind das denn für Services die genutzt werden sollen die kein TLS unterstützen?

[------]

Okay, also zum Thema "Kostenlos" würde dann ein eigener VPN Server am meisten Sinn machen.

@alex123321: Bezüglich TLS: es geht ja darum das bei einer MITM Attack auch TLS/SSL vom Angriff betroffen sein kann/ist. Wenn man von einer MITM Attack spricht gehe ich davon aus das der Angreifer die Seiten so manipuliert das SSL/TLS ebenso manipuliert ist.

Bearbeitet 31. Dezember 2022 von n0nam3

[alex123321]

Das ist doch Quark. Du verbindest dich mit deinem (Beispiel) Google Server für Google Drive. Google präsentiert ihr Zertifikat, welches dein Browser auf Echtheit prüft, bevor Daten mit dem Public Key des Google Certs verschlüsselt übertragen werden. Diese können dann auch nur entschlüsselt werden mit dem private Key von Google.

Click lieber weniger auf Phishing E-Mails und richte überall starkes MFA + einmaliges Passwort über Passwordmanager ein. Eine Bastellösung mit kostenlosem VPN wird ganz sicher nicht deine Sicherheit stärken.

[Bitschnipser]

Da hilft dir dein VPN nur, wenn dein MITM ein eigenes Netz aufspannt und dich umleitet. Sonst bringt ein VPN nichts gehen MITM...

[------]

Naja und bei öffentlichen Netzwerken? WLAN im Café zum Beispiel?

Oder im schlimmstfall eine vom Angreifer aufgestellte Femtozelle (Bezüglich Verbindung via LTE).

So wie ich das Verstehe sollte es dadurch möglich sein den Verkehr umzuleiten und ein manipuliertes Duplikat der Seite, mit original Inhalten, anzuzeigen.

Oder verstehe ich das Falsch?

[Dr. Octagon]

vor 1 Stunde schrieb alex123321:

Das ist doch Quark. Du verbindest dich mit deinem (Beispiel) Google Server für Google Drive. Google präsentiert ihr Zertifikat, welches dein Browser auf Echtheit prüft, bevor Daten mit dem Public Key des Google Certs verschlüsselt übertragen werden. Diese können dann auch nur entschlüsselt werden mit dem private Key von Google.

Nur mal so der Vollständigkeit halber für Dich zur Info was MITM alles kann: Deep Packet Inspection bei z.B. ner Firewall im Unternehmensumfeld angewandt handelt hier genau wie ein MITM... es vermittelt zwischen User und z.B. wie in Deinem Beispiel Google... bastelt für beide Seiten eine "vertrauenswürdige" verschlüsselte Verbindung... mit dem Unterschied, dass hier an diesem Punkt direkt in den ja eigentlich durchgehend verschlüsselten Verkehr geschaut werden kann, Client wie auch Google bekommen hiervon nichts mit!

Und ja, genau, das kann iin einem Internet-Café/Hotel usw... auch passieren... schöne neue Welt.

[------]

@Dr. Octagon: Okay, dann seh ich das doch nicht falsch. Das war das was ich auch im Kopf hatte.

Nur um das kurz nochmal sicherzustellen: Ein VPN würde mich dagegen doch zunächst schützen oder nicht ?

[Dr. Octagon]

Alles, was nur durch einen "handshake" beglaubigt/verschlüsselt wird (hier SSL/TLS-Zertifikate im Browser)... ist gegen MITM nicht gesichert. Aber, wenn es etwas gibt, dass nur den beiden Gegenstellen bekannt ist und nicht noch on the fly übermittelt werden muss (z.B. ein PreSharedKey), kann auch ein MITM nix unverschlüselltes auslesen...

[Dr. Octagon]

vor einer Stunde schrieb ------:

[...} und ein manipuliertes Duplikat der Seite, mit original Inhalten, anzuzeigen.

Oder verstehe ich das Falsch?

Zusatz: Es wird Dir weiterhin https://google.de angezeigt mit gültigem Zertifikat und laut Browser sogar ungebrochen verschlüsselt... alles so, als wäre "nie etwas passiert". 

[alex123321]

vor 24 Minuten schrieb Dr. Octagon:

Nur mal so der Vollständigkeit halber für Dich zur Info was MITM alles kann: Deep Packet Inspection bei z.B. ner Firewall im Unternehmensumfeld angewandt handelt hier genau wie ein MITM...

Dann erklär doch mal was zusätzlich auf dem Client umgesetzt werden muss für TLS Interception. Und wie das auf einem privaten Gerät passieren kann auf dem niemand anderes außer einem selbst die CAs verwaltet.

[Dr. Octagon]

vor 2 Stunden schrieb alex123321:

Das ist doch Quark.

Click lieber weniger auf Phishing E-Mails...

Möchte an dieser Stelle mit einem Zitat von Dir abschließen... und mit den bereits genannten Eckpunkten kannst Du im Internet ja auch selber alles dazu finden.

[Dr. Octagon]

vor 29 Minuten schrieb alex123321:

Dann erklär doch mal was zusätzlich auf dem Client umgesetzt werden muss für TLS Interception. Und wie das auf einem privaten Gerät passieren kann auf dem niemand anderes außer einem selbst die CAs verwaltet.

Muss mich kurz korrigieren, bin aber schon halb aus der Tür: Du hast Recht.

[------]

Naja jetzt spinn ich mal einen worst case rein:

Man besucht eine Website, über ein einfaches Google Ergebniss beim Suchen von was auch immer, die Seite ist infiziert mit einem dem Virenscanner bisher noch unbekannten virenlastigen/maliziösen JavaScript welcher einen solchen Zugriff auf den Rechner erlaubt, dass die CAs manipuliert werden können. Dann kommt der Angreifer vor Ort und setzt mit einer MITM erfolgreich fort.

ODER: Der Angreifer ist vor Ort und wartet darauf, dass die unverschlüsselte Seite des Routers (Beispielsweise sind die der FritzBox nicht per SSL gesichert) geöffnet wird und leitet diese bereits auf eine eigene um, welche einen infizierten Code besitzt.

Das wäre für mich sogar, wenn ich jetzt so drüber nachdenke, einer der ersten und schlimmsten/offensten Angriffspunkte.
 

[Thanks-and-Goodbye]

Was ändert ein VPN an diesem Angriffsvektor?

[------]

Wenn die Verbindung zu meinem Router kompromittiert wurde und mein CA manipuliert wurde, dann müsste doch aufgrund des VPNs die Umleitung des Datenverkehrs an manipulierte Duplikate einer Website oder auch das Abfangen von Daten, trotzdem nicht funktionieren oder sehe ich das falsch?

 

Es sollte doch der Datenverkehr dann trotzdem "unbeschadet" durchs VPN gelangen oder nicht?

Und die einzigen Seiten die manipuliert oder umgeleitet werden können sind die welche lokal liegen und nicht hinter dem VPN oder?

Bearbeitet 31. Dezember 2022 von ------

[Thanks-and-Goodbye]

vor einer Stunde schrieb ------:

Es sollte doch der Datenverkehr dann trotzdem "unbeschadet" durchs VPN gelangen oder nicht?

Bis zum VPN Breakout Point. Irgendwann endet deine VPN Verbindung.

[Dustbull]

Zwar kein Docker Container, jedoch ein sehr simpler Installer. Läuft ebenfalls sehr gut auf einem 1 Euro VPS mit unbegrenzten Traffic bei IONOS:

https://github.com/Nyr/openvpn-install

(Alternativ auch als Wireguard https://github.com/Nyr/wireguard-install)

[alex123321]

Sei mir nicht böse, aber irgendwie hast du dich auf VPN festgelegt und holst dafür irgendwas aus der Luft ohne die tatsächlich möglichen Risiken zu verstehen.

Wenn du in deinem Heimnetzwerk Dienste hast mit denen unverschlüsselte Kommunikation die einzige Möglichkeit ist, dann ist VPN genau dein Ding. Go for it. OpenVPN ist da nicht verkehrt.

Das Beispiel mit dem Click auf die bösartige Webseite ist jedoch bs. Wenn du auf einen Phishing Link clickst, dann clickst du nicht auf beispielsweise google.com sondern die Phish Domäne und die kann ihr eigenes valides Cert haben. Nur eben für die Phish Domäne.

Und da braucht der Angreifer auch nicht vor Ort zu kommen, sondern er könnte beispielsweise die Google Anmeldemaske immitieren und deine Daten weiterleiten. Du bestätigst MFA und der Angreifer ist eingeloggt. -> VPN bringt hier nix

Wenn dein Gerät soweit kompromittiert ist, dass die Zertifkate verändert werden können, dann braucht der Angreifer nicht die Zertifikate verändern. Braucht er nicht, denn er hat offensichtlich remote Admin zugriff und kann sowieso machen was er will auf dem Rechner. -> VPN bringt hier ebenfalls nix

 

Die Leute konzentrieren sich einfach nie auf die tatsächlich relevanten Dinge.

MFA, möglichst sowas wie FIDO Keys, dann ist auch der MITM Angriff ausgeschlossen (aktuell)

nicht auf Phishing Links clicken. Scams erkennen

Den AV nicht verbasteln und nicht deaktivieren

Software up-to-date halten

nachdenken bevor man etwas installiert/ausführt

[charmanta]

ich versteh den ganzen Sinn auch nicht. Als Datenschutzprofi : es gibt keine Sicherheit, man kann immer nur tun was möglich ist, aber wer jemanden linken will wird immer einen Weg finden

Am 30.12.2022 um 13:24 schrieb ------:

Wenn ich dem Betreiber des VPNs nicht trauen kann dann bringt mir die Absicherung gegen MITM und ähnliches nichts.

Genau. Wenn ich wissen will was DU machst stell ich einen VPN Zugang zur Verfügung und ICH hab die Macht

Am 31.12.2022 um 12:23 schrieb Dr. Octagon:

Ein Anbieter, der dafür nichts haben will... kann nicht seriös arbeiten... und bei den anderen muss man eben einfach vertrauen - mehr kann man nicht tun.

Exakt. Ein VPN kostet Traffic und Rechenleistung. Wieso sollte Dir das jemand seriös für umme anbieten ?

 

Am 30.12.2022 um 13:24 schrieb ------:

Ich bin oft in verschiedenen Netzwerken und über mein Datenvolumen (LTE) verbunden, daher wäre eine Absicherung ratsam.

Der Kausalzusammenhang erschliesst sich mir nicht ? Wenn Du was zu verbergen hast wäre ein Tor Browser vielleicht die einfachere Variante

Beim normalen Surfen, egal wie, selbst auf Schmuddelseiten ( ich darf das, ich mach das beruflich ) arbeite ich auch ohne VPN im Wissen zu o.g. Fakt