In vielen Gastnetzwerken sind Ports abseits der regulären Ports für das Surfen im Internet bzw. das Abrufen und Senden von E-Mails geblockt. Dies hat zur Folge, dass eine Verbindung per VPN in solch einem Fall nicht möglich ist. Der Grund liegt darin, dass die Standardports für die gängigen VPN-Protokolle außerhalb dieses Freigabebereichs liegen.
Abhilfe für dieses Problem schafft ein kleiner Workaround. Da der Port 443 in Gastnetzwerken in der Regel freigegeben ist, besteht die Möglichkeit, seinen VPN-Server auf diesem Port lauschen zu lassen. Hierfür ist allerdings die Anpassung des Protokolls nötig, da z.B. OpenVPN standardmäßig eine UDP-Verbindung nutzt, in diesem Fall jedoch eine TCP-Verbindung nötig ist.
Da in den allermeisten Fällen kein Deep Packet Inspection im Gastnetzwerk durchgeführt wird, welche erkennen könnte, dass eine VPN-Verbindung auf Port 443 aufgebaut wird, anstatt eine reguläre SSL-Verbindung zu einem Webserver, ist nun ein Verbindungsaufbau möglich.
Abseits der Anpassung des Protokolls auf TCP ist keine weitere Änderung am VPN-Server selbst notwendig. In der Firewall bzw. auf der Konfigurationsseite des Routers reicht eine Portfreigabe für den externen Port 443 TCP auf den internen VPN-Server auf dem jeweiligen Port, wie z.B. 1194.
Ist schon ein anderer Dienst auf Port 443 vorhanden?
In vielen Umgebungen wird es so sein, dass schon ein anderer Dienst auf Port 443 betrieben wird. Damit würde die Möglichkeit, OpenVPN auch auf diesem Port zu betreiben in den meisten Fällen wegfallen.
Auch hierfür gibt es eine kompakte Lösung. Das Tool sslh sorgt dafür, dass sowohl SSH, OpenVPN und SSL-Verbindungen parallel auf Port 443 erreichbar sind.
Ich betreibe meinen OpenVPN-Server auf einer Synology-Diskstation. Deshalb bietet es sich an, auch direkt dort sslh zu betreiben. Wie sslh auf einer Diskstation betrieben werden kann, beschreibe ich hier.
1 comment
[…] Technik […]
Comments are closed.