eBlocker
Es gibt mehrere Möglichkeiten, sich in Ihrem Heimnetz mit VPN zu schützen. Vor ein paar Jahren bot die Firma eBlocker ein kleines Gerät an, dass Sie an den Router stöpselten und schon hatten Sie einen Grossteil der Tracker und Werber ausgesperrt. Mehr war nicht zu tun. Sensationell benutzerfreundlich. Und Sie konnten ohne Mehraufwand oder Kosten sofort Tor aktivieren. Für all Ihre Geräte im Heimnetzwerk. Der Benutzer konnte sich bei ProtonVPN oder Mullvad VPN seine VPN Profile herunterladen und diese auf dem eBlocker installieren und schon waren sie, was die IP-Adressen-Weitergabe aus Ihrem Heimnetz angeht, geschützt. Leider hat die Firma nicht überlebt, aber die Idee. Wenn Sie irgendwo einen eBlocker gebraucht kaufen können, überlegen Sie es sich. Jetzt wird es als Hobbyprojekt von ein paar Datenschutzenthusiasten weiter betrieben. Die Filter zum Blockieren werden immer wieder aktualisiert, das VPN funktioniert stabil und flott und auch das Betriebssystem (Linux-basiert) wird regelmässig aktualisiert. Die Hardware wird nicht mehr entwickelt, aber die Software. Wenn Sie jemanden kennen, der einen Raspberry Pi zu bedienen weiss, aktivieren Sie ihn. In einigen wenigen Schritten können Sie einen Raspberry Pi zu einem Werbe-, Tracking- und IP Herausgabe Blocker nutzen. Investition: ca. 60€. Das ist eine einfache, günstige und schnelle Lösung um einen hohen Schutz bei wenig Administrationsaufwand zu gewährleisten. Wenn Sie 40€ mehr ausgeben, können Sie mehr Speicher kaufen und damit manuell noch mehr Listen aktivieren. Und selbst wenn das Tracking der Datenstalker gut ist, sprich Sie trackt, können Sie Ihr VPN Profil im eBlocker aktivieren und haben sofort VPN Schutz für Ihr gesamtes Heimnetzwerk. Alleine dafür lohnt es sich schon aus meiner Sicht. Für Tieftaucher ist das oder etwas noch technischeres wie eine pfsense Firewall auf einem Protectli- oder Teklager-Rechner, ein Muss.
Noch tiefer im Heimnetz
Was Standard-Software und -Hardware natürlich nur bedingt einhalten können: Ihre ganz speziellen Bedürfnisse zu berücksichtigen. Mir geht der eBlocker nicht weit genug. Ich möchte z.B. alles, was auch nur entfernt mit Google, Facebook oder Twitter zu tun hat, blockieren. YouTube ist auch dabei. Generelle Angebote können das nicht so einfach umsetzen, damit würden sie wahrscheinlich zu viel blockieren und keiner würde sie nutzen. Der eBlocker kann manuell Listen hinzufügen und man kann auch einzelne Domains eintragen, die zusätzlich blockiert werden sollen. Doch dafür ist er nicht konstruiert. Um ein hohes Mass an generellem Schutz zu erlangen und das mit wenig technischem Wissen (ausser der Hardware) und einer App zum Einrichten und Überwachen, für den ist der eBlocker sofort und effektiv hilfreich. Hinzu kommt, das die Community sehr aktiv ist und schnell auf Fragen antwortet. Aber: Sie leben von Spenden, von Quartal zu Quartal. Da kann es jedes Quartal passieren, dass der Betrieb eingeschränkt wird. Wenn die Enthusiasten die Listen nicht regelmässig erneuern und auch sonst den Betrieb nicht mehr leisten können, kann es sehr schnell vorbei sein. Ich fände das extrem schade.
Wenn Sie Ihre Sicherheitsstufe erhöhen wollen heisst das auch, mehr Aufwand, mehr Technik. Die konfigurabelste Lösung ist die Beschaffung einer kleinen Box, wie dem eBlocker auf einem Pi, die aber leistungsstärker und flexibler zu konfigurieren ist. U.a. könnten Sie sich den Protectli oder Teklager anschauen. Diese gibt es in verschiedenen Ausstattungen. Meist reicht einer mit zwei Netzwerkanschlüssen, da das meiste über WLAN funktioniert. Auf diesem Gerät können Sie entsprechende Firewall Software zum Blockieren von Trackern und Werbern installieren und auch Ihr ProtonVPN oder Mullvad Profil konfigurieren.
Eine übliche Software heisst pfSense aber es gibt auch andere.
pfSense ist eine Software der Firma Netgate, die ihre Netgate Hardware mit der pfSense Software vorinstalliert anbietet (Teklager bietet auch mehrere Software an, u.a. pfsense, und installiert diese vor). Die Preise sind mit dem Protectli vergleichbar aber die Software ist vorinstalliert. Jedoch habe ich Berichte gelesen, dass pfSense auf den Netgate Produkten nicht so performant läuft und vor allem das VPN langsamer als möglich ist. Schauen Sie es sich an, entscheiden Sie, welchen Aufwand Sie treiben können und wollen. Es ist es auf jeden Fall wert, denn damit ist mit einem Schlag Ihr Heimnetzwerk (die Rechner von Frau, Kindern und Hund) auf ein höheres Niveau abgesichert. Ausserdem sind die Firewall-Rechner auf Performance im Netzwerk optimiert. Da Verschlüsselung rechenintensiv ist, sind die entsprechenden Prozessoren wichtig. Schauen Sie daher bei der Auswahl nach AES-NI bei den Prozessoren. Es wäre sehr schade, wenn Ihre Gigabit-Leitung nur noch 20 MBit liefert.
Wer es mobiler mag, kann sich die folgenden Geräte anschauen. Sie sind gerade als mobile VPN Server hilfreich, wenn Sie unterwegs sind und beispielsweise im Hotel Ihren Computer, Ihr Tablet und Ihr Smartphone schützen wollen. Natürlich können Sie diese auch zu Hause verwenden, aber sie schränken Sie ein. Dafür sind sie billiger.
Wichtig bei der Auswahl ist vor allem, dass die Geräte Open Source sind und dass es eine Community von Menschen gibt, die sich den Code anschauen, sich austauschen etc. Da bekommen Sie am ehesten Hilfe.
GL.inet
Die Firma GL.inet bietet seit einiger Zeit portable Router an, die vor allem als Access Points (WLAN Zugriffspunkte) ausgelegt sind. Sie sind klein, leicht und damit sehr gut zu transportieren. Neben der Tatsache, dass Sie als Access Point agieren, können Sie auf diesen auch VPN mit einem VPN Profil aktivieren. Angeschaut habe ich mir den Slate und den Beryl wobei der Beryl als Nachfolger anzusehen ist und 10€ mehr kostet, ca. 70€. Daher sind die beiden sehr vergleichbar. Sie verbinden den Router mit dem Hotelnetz oder mit Ihrem Internetrouter zu Hause und Ihre Geräte via WLAN mit dem GL.inet. Der Beryl ist etwas grösser und hat die bessere Hardware-Ausstattung und liefert bessere Bandbreiten, wie wir gleich sehen werden. Er hat einen USB-C Anschluss, der Slate einen Micro-USB. Dadurch dass der Slate etwas weniger Power hat, strahlt er auch weniger, d.h. Ihr Netzwerk ist nicht noch in 2km Entfernung zu sehen. Vielleicht sieht nicht mal Ihr Nachbar Ihr Netzwerk. Bei Ihrer Villa in Grünwald bedeutet das aber, dass Sie nicht in jedem Zimmer Zugriff haben.
Wenn Sie ihn als reinen Access Point einsetzen liefert er gute Ergebnisse und ist einfach zu konfigurieren. Beide liefern im Durchsatz ähnliche Ergebnisse. Aber wir wollen uns ja schützen. Wenn Sie keine pfsense oder eBlocker Firewall haben, können Sie diesen Zugriffspunkt mit VPN ausstatten. In einem schnellen Netzt drücken beide den Datendurchsatz dramatisch. Mit einem OpenVPN Profil von ProtonVPN kommt der Slate auf ca. 15 MBit/s, der Beryl auf 20 MBit/s. OpenVPN ist ein allseits akzeptierter Standard, der aber einiges an Ressourcen für die Verschlüsselung braucht. Da der Beryl etwas neuere Hardware hat, ist er ein bisschen flotter. Wenn Sie zu Hause in der Eifel oder dem Hunsrück sowieso nur eine 10 oder 16 MBit/s Leitung haben, können Sie diesen Router problemlos für VPN nutzen. Wenn Sie aber in München eine 400 MBit/s Leitung haben, werden Sie mit diesen Geräten keinen Spass haben, wenn Sie VPN verwenden.
OpenVPN ist bekannt dafür, viele Ressourcen zu benötigen. Daher gibt es ein anderes, „leichteres“ Protokoll, Wireguard. Wireguard wird von Mullvad VPN angeboten, aber nicht von ProtonVPN. Das Protokoll gilt in manchen Kreisen als nicht ganz so sicher wie OpenVPN, es braucht eine statische IP Adresse und schreibt in Logfiles. Deshalb erklärt Mullvad VPN auch, dass sie diese regelmässig löschen, um keine Verfolgbarkeit zu ermöglichen. Wenn Sicherheit Ihr oberstes Gut ist, dann ist Wireguard vielleicht nicht für Sie. Wenn Sie Sicherheit und Geschwindigkeit wollen, dann liefert Ihnen Wireguard mit dem Slate 50-60 MBit/s und mit dem Beryl zwischen 60 und 80 MBit/s. Spürbar mehr.
Da Ihnen die Hotels oftmals auch nicht mehr bieten, sind sie sehr gut für Reisen geeignet, wenn Sie mehr als ein Handy dabei haben. Ich reise oft mit Handy, Tablet und Notebook und bekomme bei Hotels oftmals nur einen oder zwei Codes für den Internetzugang. Der dann oftmals auch noch offen ist. Für diese Fälle lohnt sich ein Beryl oder Slate (dann den Slate, der ist kleiner). Doch für zu Hause, wenn Sie eine schnelle Leitung haben, rate ich ab. Es sei denn, Sie schaffen sich mehrere an. Einen für sich, einen für den Partner und einen pro Kind. Dann haben Sie Ihr Heimnetzwerk segmentiert und das bietet zusätzlichen Schutz. Dann wird es wiederum so teuer, dass eine „richtige“ Firewall vielleicht die besser Lösung ist.
Invizbox
Alternativ können Sie sich überlegen eine Invizbox anzuschaffen. Invizbox hat eine Partnerschaft mit ProtonVPN, gehört diesen aber nicht.
Die Invizbox 2 hat einen Quad-Core Prozessor und 1 GB Ram. Damit ist sie besser auf die Aufgaben vorbereitet als die GL.inet-Geräte. Das sehen Sie sofort in der Geschwindigkeit bei Verwendung eines OpenVPN Zugriffs, der mit 40 MBit/s im Durchschnitt doppelt so schnell ist. Und wenn Sie auf das IKEv2 Protokoll umstellen (müssen Sie manuell konfigurieren, bietet ProtonVPN an), dann kommen Sie auf bis zu 70 MBit/s. Sie ist aber nicht als Reise-Access-Point, wie die GL.inet Geräte entwickeln worden, sondern als VPN Router. Daher ist sie als Access Point ohne VPN und als Reisegerät nur eingeschränkt zu gebrauchen. Wenn Sie das Gerät bestellen, dann geben Sie direkt bei der Bestellung an, welchen VPN Anbieter Sie verwenden und sie wird vorkonfiguriert. Wenn Sie sie dann zu Hause installieren, wird per Wizards der Username und das Passwort Ihres VPN Anbieters abgefragt und sie können loslegen. Ausserdem bietet Invizbox eine App, mit der Sie den Router konfigurieren können.
Sie verwendet Opern Source Firmware und basiert auf OpenWRT, einem Linux Projekt, dass sich um Open Source Software für „Embedded Devices“ kümmert. Viele haben Bedenken, weil die Invizbox in China produziert wird. Aber sie werden in Irland neu aufgesetzt, so dass das kein Risiko ist. Sie ist so geplant, dass Sie nicht alle Einstellungen sehen und sie sofort nutzen können. Daher ist sie nicht so konfigurierbar wie die GL.inet Router. Also eher etwas für den Endanwender gedacht und nicht für den Techie. Doch ein grosses Manko hat sie meiner Meinung nach: Wenn Sie einen anderen VPN Anbieter wählen wollen, benötigen Sie Hilfe von der Firma. Es ist nicht einfach bis unmöglich, den VPN Anbieter selber zu ändern. Leider.