Eingeschränktes WLAN probleme mit VPN

[MacGuffin]

Hallo, ich sitze hier in einem Funkloch, in dem mir wenigstens ein WLAN zur Verfügung steht, allerdings mit eingeschränktem Funktionsumfang. Youtube, Netflix scheinbar auch irgendwelche Chatfunktionen, sowie Clouddienste sind wohl gesperrt. Naja, von solchen "Angeboten" kann man halten was man will. Ich nutze jedenfalls eh rund um die Uhr VPN-Verbindungen via ExpressVPN oder zu meinem Heim-Netzwerk. Wenn ich im WLAN nen VPN-Tunnel aufbaue kann ich schon Youtube nutzen und auf mein Onedrive zugreifen. Was aber nicht geht ist der Zugriff auf meinen Heimnetzwerk (Qnap-Server, Fritzbox). Auch meine App zum Zugriff auf eine Chat-Community funktioniert nicht. Kann mir jemand erklären wie das sein kann? Durch den VPN-Tunnel müssten doch die Funktionssperre im WLAN umgangen werden.

Vielen Dank.

 

[KillerCow]

Sofern der gesamte Netzwerkvekehr durch den VPN Tunnel geleitet wird, hast du recht, dann sollte alles funktionieren (sofern es sonst auch über VPN funktioniert hat). Eventuell gibt es ein Problem in Hinblick auf IPv4/IPv6. Hast du durch das VPN je eine v4 und eine v6 Adresse? Am besten über passende Webseiten testen bzw. vielleicht sagt dir das VPN Tool das auch.

 

[MacGuffin]

Kannst du mir sagen wie ich das teste und was da möglicherweise für ein Problem vorliegt? Wie kann es denn sein, dass bestimmte Apps nicht über das VPN laufen?

 

[Raijin]

Also erstmal reden wir hier scheinbar von zwei gänzlich verschiedenen Dingen: VPN über einen externen VPN-Anbieter und VPN nach Hause. Das sind zwei Paar Schuhe und zwar _Lauf_schuhe und _Hand_schuhe. VPN ist nur ein virtuelles Netzwerkkabel, sagt aber noch nichts darüber aus wo es angekemmt wird. Also bitte nicht alles in einen Topf werfen, nur weil jeweils die 3 Buchstaben V, P und N draufstehen.

Nutzt man das Internet über einen VPN-Anbieter wie ExpressVPN, Cyberghost und Co, kann der Betreiber eines Onlinedienstes wie Streaming, Chat, Onlinebanking oder von mir aus auch ein Forum über's Stricken von Wollmützen die IP-Adressen von bekannten VPN-Servern schlicht und ergreifend sperren. Anonymisierung via VPN ist vom Betreiber eben nicht immer erwünscht. Netflix wird beispielsweise von GEMA und Co drangsaliert, weil es denen ein Dorn im Auge ist, dass jemand aus Deutschland via US-VPN auf das US-Angebot von Netflix zugreift - deswegen sperrt Netflix regelmäßig weitere VPN-Server aus.

Ein VPN nach Hause ist etwas anderes. Während man auf das Ziel im Falle von Netflix, Chatservern und dergleichen keinen Einfluss hat, kann man im Heimnetzwerk frei schalten und walten - und das muss man auch, wenn's hakt. Als erstes muss natürlich der Internetrouter die eingehende Verbindung an den Server weiterleiten, die Portweiterleitung. Anschließend muss der Server dann so konfiguriert werden, dass er seinerseits überhaupt Daten vom VPN ins lokale Netzwerk weiterleitet und zu guter Letzt muss das Endziel bzw dessen Firewall die Verbindung zulassen. Hinzu kommt natürlich auch das korrekte Routing in beide Richtungen.

 

[MacGuffin]

Hallo, danke erstmal für die Ausführliche Antwort. Mir ist bisher nie aufgefallen, dass ExpressVPN irgendwelche Inhalte sprerren würde. Heute hab ichs nochmal ausprobiert. Also:
Wlan an > youtube funktioniert nicht.
Wlan an + ExpressVPN > youtube funktioniert.
Wlan an + VPN-Verbindung auf die Fritzbox zubause > Verbindung wird hergestellt, aber Internet oder kontakt zum QNAP zuhause funktioniert nicht.
WLAN aus, Internetverbindung über LTE + VPN zur Fritzbox > alles funktioniert.

Es scheint als wäre in dem Hotspot hier das VPN nachause komplett gesperrt. Im ExpressVPN funktionieren einige Sachen nicht, als wurden sie eigentlich nicht durch das VPN laufen. Versteh ich nicht!

 

[Raijin]

Mir ist bisher nie aufgefallen, dass ExpressVPN irgendwelche Inhalte sprerren würde.

Ist auch nicht der Fall. Wenn das Ziel (zB Netflix) den Anbieter und dessen Server aber kennt, könnem diese Server ausgesperrt werden. So wie man am Flughafen nicht vermummt (=anonymisiert) in den Flieger gelassen wird, weil man den Fluggast zwingend eindeutig identifizieren will, so will und muss Netflix auch dafür sorgen, dass die Inhalte nicht missbraucht werden - zB dadurch, dass man sich über Geosperren hinwegsetzt und somit die Rechte von GEMA und Co verletzt.

Wlan an + VPN-Verbindung auf die Fritzbox zubause > Verbindung wird hergestellt, aber Internet oder kontakt zum QNAP zuhause funktioniert nicht.
[..]
Es scheint als wäre in dem Hotspot hier das VPN nachause komplett gesperrt.

Auch da irrst du. Wenn dem so wäre, würde der VPN-Tunnel gar nicht hergestellt werden, sondern ins Leere laufen. Wird das VPN aufgebaut, aber man bekommt keine Verbindung in das Netzwerk hinter dem VPN, dann ist das VPN selbst schuld. Wie ich oben schon schrieb muss das Routing stimmen. Das Zielgerät hinter dem VPN kann zudem die Verbindung auch ablehnen, weil die AbsendeIP nicht im lokalen Netzwerk liegt - das Zielgerät bzw dessen Firewall muss also unter Umständen auf das VPN-Subnetz eingestellt werden.

 

[MacGuffin]

Tja, und ich dachte ich hätte das mit dem VPN verstanden. Ich dachte wenn ich eine VPN-Verbindung zwischen meinem Endgerät und meiner Fritzbox aufbaue, dann bekommt der Hotspot nicht mit was da drüber läuft, scheinbar iat das nicht so. bzw, irgendwie verhindert der Hotspot ja meine VPN-Verbindung nachause. Bzw ist mir heute aufgefallen, dass der Tunnel zur Fritzbox Scheinbar hergestellt wird (Meldung "Verbunden", jedoch keine Verbindung),nach einigen Minuten aber zusammenbricht. Über LTE ist der immer stabil. Kann ich irgendetwas tun, oder muss ich mich damit abfinden?

 

[Madman1209]

Hi,

hat Raijin doch schon wunderbar beschrieben:

Wie ich oben schon schrieb muss das Routing stimmen. Das Zielgerät hinter dem VPN kann zudem die Verbindung auch ablehnen, weil die AbsendeIP nicht im lokalen Netzwerk liegt - das Zielgerät bzw dessen Firewall muss also unter Umständen auf das VPN-Subnetz eingestellt werden.

Ist das alles korrekt eingerichtet?

VG,
Mad

 

[Raijin]

Ich dachte wenn ich eine VPN-Verbindung zwischen meinem Endgerät und meiner Fritzbox aufbaue, dann bekommt der Hotspot nicht mit was da drüber läuft, scheinbar iat das nicht so. bzw, irgendwie verhindert der Hotspot ja meine VPN-Verbindung nachause.

Nein. Wenn der Hotspot die VPN-Verbindung blocken würde, könntest du überhaupt keinen Tunnel zu deiner Fritzbox aufbauen, also gar nix, VPN-Connect klicken und .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. kein Server gefunden.

VPN ist kein vollautomatisches Schweizer Taschenmesser, sondern man muss wie beim Taschenmesser auch erstmal das richtige Werkzeug ausklappen bzw. das VPN auf das jeweilige Szenario (s.u.) anpassen. Das heißt: Ein VPN wird nicht einfach installiert und dann läuft alles auf magische Weise, genausowenig wie man einfach mit einem Taschenmesser auf einer Schraube rumdrehen kann, wenn man den Schrauber nicht ausklappt!

Es gibt 3 Szenarien und eben auch Konfigurationsvarianten von VPN:

client-to-client : Hier verbinden sich einfach nur zwei Geräte miteinander. Es gibt keine Verbindung in die Subnetze dahinter.

client-to-site : In dieser Variante hat der Client auch eine Verbindung in das Subnetz hinter der Gegenstelle. Das ist das von dir angepeilte Szenario.

site-to-site : Die klassische Standortverbindung. Hierbei sind jeweils auch die Subnetze hinter beiden Seiten gegenseitig erreichbar. Das ist die klassische Standortverbindung (zB Zentrale <> Filiale)

Das bezieht sich jedoch lediglich auf die Konfiguration des VPN-Servers. Bei 08/15-Router-VPNs muss man in der GUI in der Regel lediglich einen Haken setzen, der den Zugriff auf das Netzwerk des Routers erlaubt. Damit reicht der VPN-Server im Router nun also den Traffic vom VPN durch ins Heimnetzwerk, aber wie das eigentliche Ziel nun darauf reagiert, ist nicht mehr Sache des Routers. VPN ist ein bischen so wie ein Briefträger. Er steckt den Brief in den Briefkasten des Empfängers, aber ob dieser nun den Brief öffnet und beantwortet oder ihn direkt zerreißt, ist nicht sein Bier. So wie Otto Normal den offensichtlichen Werbebrief einer beliebigen Lotterie sofort wegwirft, kann auch das NAS eingehenden Datenverkehr von unbekannter Quelle (das NAS weiß nix vom VPN) einfach verwerfen und demzufolge auch bewusst nicht beantworten.

Das Verwerfen von Daten aus unbekannter Quelle ist aber nicht das einzige was passieren kann. Selbst wenn das Ziel (NAS) ungeachtet des Absenders einfach alles annimmt und beantworten möchte, muss das NAS wissen wohin mit der Antwort. Bekommst du einen Brief mit einem Absender, dessen Adresse nicht bekannt ist bzw. besser: nicht zu entziffern ist, kannst du ihm auch nicht antworten. Genau so verhält es sich, wenn am NAS eine Verbindung aus dem VPN reinkommt und das NAS keine Route ins VPN-Subnetz hat.