Journalisten bei den Olympischen Spielen 2008 in Peking haben keinen vollen Internetzugang. Mit der GPL-Software Openvpn lassen sich solche Zensurmechanismen leicht umgehen.

IOC-Präsident Jacques Rogge musste kürzlich unter heftiger Kritik zurückrudern, als bekannt wurde, dass von dem versprochenen "uneingeschränkten" Internetzugriff für die Presse wenig übrig blieb. Technisch steckt allerdings nicht viel hinter der "Großen Firewall", die das Land vor verbrecherischen Inhalten schützen soll. Journalisten im Olympiazentrum, westlichen Unternehmen und Privatpersonen stehen diverse Möglichkeiten zur Verfügung, um trotzdem überall einen vollständigen und nicht überwachten Internetzugang zu bekommen. Allerdings setzen die meisten Methoden nur auf Anonymisierungsdienste wie Tor, Proxies oder Webdienste, die Inhalte umwandeln und an der Zensur vorbeischmuggeln. Chinas Regierung hat in der Vergangenheit regelmäßig Rechner im WWW komplett geblockt, die solche Services anbieten. Kollektive Anonymisierungsdienste wie Tor stehen darüber auch noch in einem schlechten Ruf, weil jeder Benutzer hier auch anderen, eventuell illegalen oder kriminellen Machenschaften einen sicheren Hafen verschafft. Das ist auch vor deutschen Gerichten schon unangenehm aufgefallen.

Aber eine Möglichkeit, die sowohl für Windows, Linux und den Mac zur Verfügung steht, lässt sich vielseitig einsetzen und ist von Chinas Machthabern nur schwer unter Kontrolle bringen: Openvpn. Weil die freie, kostenlose GPL-Software Mechanismen verwendet, die für viele Unternehmen in China überlebenswichtig sind, dürfte es dem Land schwer fallen, hier einen Hebel vorzuschieben. Der Benutzer verwendet seinen eigenen Server, braucht diesen nicht mit anderen Usern zu teilen und ist vollständig auf der sicheren Seite.
Gleichzeitig hilft Openvpn, jederzeit abhörsicher, schnell und mit vollem Internetzugriff zu surfen, E-Mails zu bearbeiten und alle Dienste zu nutzen, die das Web bietet. Weil das mit militärischer Sicherheitsstufe verschlüsselt geschieht, stehen ungeliebte Mitleser wie der chinesische Staat, Sicherheitsbehörden, Angreifer oder der restriktive Administrator des lokalen Netzwerkes einigermaßen machtlos da, in vielen Fällen bleibt der Openvpn-Tunnel sogar gänzlich unbemerkt.

Denn, nach Meinung zahlreicher Experten sind verschlüsselte Verbindungen auf Basis von HTTPS nicht von der Zensur betroffen. Studien, die den "Goldenen Schild" untersuchen (siehe Kasten), legen deshalb nahe, dass sich über HTTPS freies, uneingeschränkter Internetzugang herstellen lässt.

Openvpn als Lösung

Normalerweise ermöglichen Virtuelle Private Netzwerke (VPNs) Außendienstmitarbeitern einen abhörsicheren Zugang zum Firmennetz oder stellen über das Internet eine Verbindung zwischen mehreren Niederlassungen eines Unternehmens her. Die verbundenen Rechner sind dann Teil eines gemeinsamen, virtuellen Netzwerkes, die Mitarbeiter können darüber miteinander arbeiten, als wären sie am selben Firmenstandort. Klassische Beispiele eines VPNs sind alle Varianten von IPSEC oder das bei Microsoft häufig eingesetzte PPTP. Weil diese Lösungen aber entweder unsicher (PPTP) oder komplex sind (IPSEC), erfüllen sie nicht immer ihren Zweck. James Yonan, der Initiator von Openvpn, erfuhr das am eigenen Leib, als er um die Jahrtausendwende in den Ländern der ehemaligen Sowjetunion unterwegs war und mit seiner Firma Datenaustausch betreiben sollte.

Aus der Not heraus gab er den Anstoß für Openvpn, eine Software, die sowohl flexibel und einfach sein sollte als auch höchste Sicherheitsanforderungen genügen musste. Das Projekt entwickelte sich rasant und Openvpn gilt heute als die spannendste VPN-Software schlechthin und als VPN der dritten Generation. Dank der zahlreichen mitgelieferten Verschlüsselungsverfahren und den umfangreichen Optionen können Benutzer fast überall schnelle, abhörsichere und mit militärischer Sicherheitsstufe verschlüsselte Verbindungen benutzen.

Weil das Werkzeug die auch bei HTTPS-Verbindungen gängigen Mechanismen verwendet, ist der Zugriff auf das private Netzwerk überall dort möglich, wo der Client freien Zugriff auf URLs hat, die mit dem Kürzel https:// anfangen. Die hohe Verbreitung der SSL/TLS Bibliotheken garantiert dabei, dass Programmierfehler, Exploits oder Bugs schnell von den Betreibern der zahlreichen Banking- und E-Commerce-Portalen bemerkt und zeitnah gefixt werden.

Simpel: Wie Openvpn funktioniert

Die Funktionsweise von Openvpn ist denkbar einfach: Die Software erstellt auf dem Client ein eigenes, virtuelles Netzwerkinterface und baut eine verschlüsselte Verbindung zum Server auf. Alle Netzwerkpakete, die über die virtuelle Schnittstelle (standardisierte TUN/TAP-Devices) versendet werden, schickt die Software encrypted zum Openvpn-Server. Ist die Option "redirect-gateway" gesetzt, dann wird der Client sogar den kompletten Datenverkehr, der nicht für das lokale Netz bestimmt ist, über diesen Tunnel routen.

Mit einer lokalen Firewall auf dem Notebook und einer zentralen, unternehmensweiten Firewall auf dem Server ist der Außendienstler so nahezu perfekt geschützt. Der komplette Internetzugriff findet verschlüsselt über den VPN-Tunnel statt, im lokalen Netz und allen beteiligten Routern können böswillige Lauscher nur verschlüsselte Pakete erkennen, und die Firewalls blocken unerwünschte Verbindungen. Idealerweise erlaubt es dabei die zentrale Firewall dem Laptop auch, über den Tunnel aufs Internet zuzugreifen, am besten via Masquerading.

Openvpn zeigt sich dabei vor allem im Vergleich mit anderen VPN-Lösungen sehr flexibel. Für die Verbindung braucht es nur einen Port und ein Protokoll (UDP oder TCP), beides ist frei wählbar. Wer sich häufig in einem Netzwerk befindet, das Verbindungen eher restriktiv handhabt, der sollte hier beispielsweise Port 21 (FTP) oder 443 (HTTPS) wählen. Ob der Admin UDP oder TCP verwendet, spielt eher eine Nebenrolle. Die Performance ist bei UDP deutlich besser, allerdings stehen dann weniger Optionen zur Verfügung wie bei TCP-Verbindungen.

Für hohe Ansprüche bringt Openvpn auch die Möglichkeit eines einfachen Clusterings mit. In der Client-Konfiguration sind dann mehrere Server eingetragen, die die Software nacheinander abklappert. So lassen sich eventuelle IP-Blockaden eines argwöhnischen Netzbetreibers locker umgehen, aber damit es erst gar nicht soweit kommt, bietet sich Port-Sharing an. Seit Version 2.1 kann sich Openvpn einen Port mit anderer Software teilen, zum Beispiel mit einem Apache-Webserver. Benutzer oder Angreifer, die nicht mit Openvpn-Paketen darauf zugreifen, landen am Webserver, die authentifizierten User im VPN. Wer diesen Traffic überwacht, kann nur anhand der Datenmenge und der Übertragungsprofile Rückschlüsse auf die besuchten Webseiten ziehen.

Journalisten bei den Olympischen Spielen 2008 in Peking haben keinen vollen Internetzugang. Mit der GPL-Software Openvpn lassen sich solche Zensurmechanismen leicht umgehen.

Kommentare (7)
von Michael, 11.08.2008 23:19	Re: Dyndns.org Oder man geht einfach auf dyndns.org und holt sich unter myHosts die IP des heimischen DSL-Anschlusses. Vorausgesehte der Zugriff auf Dyndns.org oder die IP ist möglich.
von Markus Feilner, 08.08.2008 10:01	RE: Dyndns Ja, da hast du ganz recht, Dyndns ist hier der Single Point of Failurer. Am besten besorgt man sich gleich mehrere Accounts bei verschiedenen Anbietern und trägt die hintereinander in die Zeile "remote ..." des Clients ein. Openvpn macht dann automatisch eine Art "Round-Robin-Clustering" und probiert alle eingetragenen Server durch. Und dann gibts natürlich noch die Möglichkeit, die IP jedesmal direkt einzutragen. Dazu muss der Benutzer nur die Adresse des heimischen DSL-Anschlusses herausfinden. Das geht aber auch mit einem Anruf daheim. Da geht dann zum Beispiel die Freundin zuhause auf eine Webseite wie whatismyip.com und teilt dem Anrufer das Ergebnis mit. Ja, Not macht erfinderisch.
von Georg, 07.08.2008 20:00	dyndns.org np. Aber nochmal wegen DNS, im HOWTO-Artikel wird empfohlen dyndns.org zu verwenden, aber gerade dieser Dienst wird in .cn gerne gestört und man bekommt keine brauchbare Antwort. Ich selbst konnte den dyndns.org-Heimserver nicht direkt mit Hostname erreichen. Mögliche Würgarounds, die mir spontan einfallen: - aufgelöste IP täglich per SMS durchgeben lassen - einen Shellserver mit statischer IP mieten/Account besorgen und dort die dyndns.org-Adresse auflösen - https-Webspace besorgen und eine (php-)Seite anlegen, die die Adresse aufgelöst anzeigt - usw... Man muß halt improvisieren. Wenn man einmal in China Probleme mit dem Netz hat, macht der Not einen Linux-User wirklich erfinderisch.
von Markus Feilner, 07.08.2008 15:15	SSH klappt halt nicht immer Hallo Lu, Uwe, Georg, schon mal vielen Dank fürs Feedback, das freut mich sehr! @LU: Tunnel via SSH ist schön und gut, das mache ich auch regelmässig, aber was machst du wenn du in einem Netz bist, wo die Firewall nur FTP, HTTP und HTTPS erlaubt? Ich habe solche Einstellungen als typisch erlebt, und früher auch bei zahlreichen Kunden so restriktive Firewalls eingerichtet. Da kommt man dann mit SSH-Tunnels gar nicht weiter. @Georg: Danke für das Feedback, ich hab das mittlerweile auch von verschiedenen Seiten bestätigt bekommen. Ein sehr guter Tipp ist auch, die IP des VPN-Servers bereitzuhalten! @Uwe: Ja, aber solche Firewalls sind selten. Ich kenne ein Krankenhaus, wo nur ausgewähltes Personal Https mit Direct Connect machen darf. Diese Einschränkung wurde notwendig, nachdem ich den Admins Openvpn vorgeführt habe... Nochmal vielen Dank ! Markus
von Lu, 06.08.2008 22:29	SSH Also ich tunnel alles per SSH. Das öffnet mir alle Möglichkeiten, die nicht auf UDP angewiesen sind. Ich brauche keine VPN Server etc konfigurieren. Es reicht ein linux vServer in dem entsprechendem Land, wo es keine Regeln gibt. Bisher hat kaum ein Admin es geschafft das zu unterbinden...
von Georg, 05.08.2008 23:46	Es klappt Ich war letzte Woche in China und habe mit einem Openvpn-Client auf dem Laptop auf einem Server in .de zugegriffen. Die Leitung war etwas langsam, aber brauchbar und man konnte damit arbeiten, solange keine zu große Datenmenge anfielen. Ich zumindest mußte nicht über https tarnen. Tip: DNS liefert in China ab und zu komische Antworten, DNS-Abfrage in .de und .cn liefern oft andere Ergebnisse. Also sollte man im Zweifelsfall immer einen Server in .de bei IP ansprechen und SSH-Fingerprints bereithalten, dann auf dem Server eine DNS-Abfrage durchführen.
von Uwe, 05.08.2008 18:19	OpenVPN ist schön und gut wenn man nicht hinter einer sehr restriktiven FW resp. Proxy sitzt. So überwacht meine Firma alle Zugriffe, wenn dann auf ein und denselben Server, hier z.B. der OpenVPN-Server zuviele Zugriffe laufen, wird die Verbindung gekappt, bzw. meine Proxy-Kennung zeitweise stillgelegt (