OpenVPN ist gesperrt und nun? SSTP hilft oftmals!

Kein Kommentar Autor: JDO

Wenn ich unterwegs bin und öffentliche WLANs wie zum Beispiel im ICE, Hotel-Netzwerke, Hotspots oder AirBNB Wi-Fi, aktiviere ich grundsätzlich ein VPN (Virtual Private Network). Das solltest Du auch tun, weil es Dich vor neugierigen Augen, Malware und möglicherweise böswilligen Hackern schützt. Welchen VPN Provider Du verwendest, ist dabei erst einmal zweitrangig. Persönlich sagt mir derzeit unter anderem NordVPN (momentan Schnäppchen) zu. Fakt ist, dass Du ohne VPN solche Services aus Gründen der Sicherheit nicht nutzen solltest. Selbst bei einer temporären SIM-Karte, wie Du sie im Urlaub bekommst, aktiviere ich grundsätzlich das VPN. Sollte OpenVPN oder WireGuard nicht funktionieren, kannst Du auch mal SSTP ausprobieren.

Eigentlich bieten alle guten VPN-Anbieter als Protokoll OpenVPN und wenn es funktioniert, solltest Du es auch einsetzen. WireGuard ist vielversprechend, befindet sich aber noch in einer Entwicklungsphase. Nun ist es mir tatsächlich schon öfter passiert, dass OpenVPN gesperrt war. Vor nicht allzu langer Zeit in einem Hotel war das auch wieder der Fall. Wie genau die Nutzung von OpenVPN blockiert war, hat mich eigentlich weniger interessiert. Vielleicht war einfach Port 1194 gesperrt oder es wurde gleich mit einer DPI-Lösung (Deep Packet Inspection) draufgeschlagen. Es war aber im Urlaub und deswegen ich keinen Nerv, das genauer zu untersuchen. Eine Port-Lösung war es wohl nicht. Das hatte ich kurz noch getestet und OpenVPN funktionierte weder via TCP noch UDP.

Persönlich habe ich die Erfahrung gemacht: Wird OpenVPN blockiert, sind meist auch PPTP und L2TP/IPsec gesperrt. Es gibt in so einem Fall ein paar Alternativen.

SSH hätte funktioniert, aber …

Eine Lösung mit einem eigenen Server in Deutschland und via Android mit Ki4a funktionierte. Das ist wie sshuttle ein SSH-basierter Ansatz, der über einen eigenen Server läuft. Ist man aber am anderen Ende der Welt, kann der Umweg über den Server in Europa schon mal zäh werden. Von daher wäre mir ein Server lieber gewesen, der etwas näher aufgestellt ist.

Nun ist mir in den Kopf geschossen, dass einige Anbieter auch SSTP als Protokoll anbieten. PureVPN ist so ein Kandidat, weswegen ich es als günstiges Zweit-VPN empfehle. Bei SSTP wird vereinfacht gesagt ein VPN-Tunnel über Port 443 aufgebaut und geroutet. Dem cleveren Betrachter wird Port 443 sofort auffallen, denn das ist der Port, über den per Standard HTTPS läuft. Den Port wird normalerweise keiner blockieren. Nun könnte man zwar auch mit aufwendigeren Lösungen SSTP blockieren, das machen aber die wenigsten. Also bisher war SSTP für mich immer eine funktionierende Alternative, wenn OpenVPN gesperrt war.

Verschleierungs-Technologien funktionieren in der Regel auch, aber die können langsamer als SSTP sein. Gibt es irgendwelche Sperren, musst Du ein bisschen experimentieren. Auf jeden Fall ist es immer gut, Alternativen zu haben.

Ist SSTP nicht unsicherer als OpenVPN?

Das lässt sich so nicht sagen. OpenVPN ist eine Open-Source-Lösung und somit ist der Code öffentlich einsehbar. Von daher ist OpenVPN bei den meisten Anbietern das empfohlene Protokoll. Wie oben aber beschrieben, ist es manchmal keine Option.

SSTP ist eine Lösung von Microsoft und somit proprietär. Microsoft lässt sich nicht in die Karten schauen und deswegen ist der Code nicht überprüfbar. Von Seiten der Verschlüsselung gilt SSTP als genauso sicher wie OpenVPN. Beide können mit 256-Bit AES auftrumpfen. Funktioniert nichts anderes, ist das Protokoll aus der Schmiede Redmonds auf jeden Fall immer noch besser als gar kein VPN, richtig?

Weiterhin gibt es einen kleinen Nachteil mit dem Protokoll von Microsoft. Es verwendet nur rein TCP und ist deswegen und wegen der hohen Verschlüsselung relativ langsam. Aber auch das ist besser, als ungeschützt im Internet zu surfen. Auf jeden Fall wird Deine IP-Adresse verschleiert, Deine Anonymität geschützt und Du kommunizierst über einen verschlüsselten Kanal.

SSTP unter Windows

Windows-Anwender haben mit SSTP den geringsten Aufwand. Seit Windows Vista SP1 ist der Client in Windows implementiert. Eine Einrichtung ist relativ einfach. Ich bin zwar kein Windows-Spezialist, aber die Einrichtung ist relativ einfach. Ich zeige sie Dir Schritt-für Schritt unter Windows 10.

1. Klicke in der Taskleiste auf das Netzwerksymbol und danach auf Netzwerk- und Interneteinstellungen

Windows SSTP einrichten 1 Netwerkeinstellungen

Netzwerk- und Interneteinstellungen öffnen

2. Bei den Einstellungen klickst Du im Anschluss auf der linken Seite auf VPN und danach auf VPN-Verbindung hinzufügen.

Windows SSTP einrichten 2 VPN Verbindung hinzufügen

Neue VPN-Verbindung hinzufügen

3. Ist noch kein anderweitiger Service installiert, kannst Du bei VPN-Anbieter nur Windows (integriert) auswählen. Danach vergibst Du einen beliebigen Verbindungsnamen. Richtest Du mehrere VPN-Verbindungen ein, bieten sich sprechende Namen immer an. Servername oder IP-Adresse bekommst Du von Deinem Anbieter. Als VPN-Typ wählen wir in diesem Fall Secure Socket Tunneling-Protokoll (SSTP) und Anmeldeinformationstyp ist in den meisten Fällen Benutzername und Kennwort. Diese Daten bekommst Du ebenfalls vom VPN-Anbieter. Ist alles ausgefüllt, klicke auf Speichern.

Windows SSTP einrichten & SSTP konfigurieren

SSTP konfigurieren

4. SSTP ist eingerichtet. Du siehst die Verbindung in den Einstellungen für Netzwerk- und Internetverbindungen und kannst Dich darüber verbinden.

Windows SSTP einrichten & SSTP eingerichtet

SSTP ist eingerichtet

Da der Weg etwas umständlich ist, stellt Dir Windows 10 die VPN-Verbindung aber auch über das Netzwerksymbol in der Taskleiste zur Verfügung.

Windows SSTP einrichten & verbinden

SSTP-Verbindung lässt sich auch direkt über das Netzwerksymbol aus der Taskleiste aufrufen

5. Verbunden! Das war es schon, mehr ist nicht zu tun.

Windows SSTP einrichten & trennen

VPN via SSTP ist verbunden

IPv6-Leck beachten – IPv6 unter Windows deaktivieren!

Benutzt Du SSTP oder überhaupt einen VPN Provider, dann achte darauf, dass er vor dem IPv6-Leck schützt. Manche Anbieter haben keine IPv6-Einwahlserver. Bezieht die SSTP- oder VPN-Verbindung nur eine IPv4-Adresse, dann ist der komplette Schutz hinfällig. Der Computer würde in diesem Fall weiterhin IPv6 benutzen. Verwendest Du Deine VPN-Verbindung erstmalig, prüfe zum Beispiel via ipleak.net von AirVPN (gibt ein Paket für nur 1 Euro) ob:

  • sich Deine IP-Adresse (IPv4) geändert hat
  • Du eine IPv6-fähige Verbindung hast
  • sich Deine IPv6-Adresse geändert hat

Wählt sich Dein Rechner via SSTP ein, aber es leckt zum Beispiel Deine IPv6-Adresse, kannst Du IPv6 unter Windows recht einfach deaktivieren. Das geht so:

1. Öffne wieder die Netzwerk- und Interneteinstellung. Klicke hier einfach einfach auf Adapteroptionen ändern.

Windows IPv6 deaktivieren & Adapteroptionen

Adapteroptionen ändern – die Einstellungen der Netzwerkkarte bei Windows 10

2. Hier finden wir nun in unserem Fall zwei Anschlüsse. Einmal Ethernet (LAN-Verbindung) und der andere ist unsere SSTP-Verbindung. Vielleicht ist es bei Dir auch eine drahtlose Netzwerkkarte (Drahtlosnetzwerkverbindung), aber unser Rechner ist über ein Kabel verbunden. Wir wollen IPv6 auf jeden Fall gleich an der Wurzel unterbinden. Ein Rechtsklick auf unsere Netzwerkkarte (Ethernet) und danach ein Klick auf Eigenschaften öffnet ein weiteres Fenster. Das funktioniert übrigens für jeden Netzwerkadapter oder jede Netzwerkkarte.

Windows IPv6 deaktivieren & Eigenschaften

Die Eigenschaften der Adapteroptionen öffnen

3. In der Liste mit den Elementen findest Du eine Option, die sich Internet Protocol Version 6 (TCP/IPv6) nennt. Lösche einfach das Häkchen und die Sache mit dem IPv6-Leck (sofern Du eines hattest) hat sich erledigt.

Windows IPv6 deaktivieren & deaktivieren

IPv6 deaktivieren

SSTP unter Android

Willst Du SSTP unter Android nutzen, haben wir nur eine vernünftige App oder Lösung dafür gefunden. Sie nennt sich SSTP VPN Client und Du findest sie im Play Store von Google. Der Haken an der Sache ist, dass Du die App nicht ganz kostenlos bekommst. Sie ist ihr Geld allerdings wert. Du brauchst keine root-Rechte auf Deinem Smartphone oder Tablet und die kostenlosen Lösungen haben alle nicht funktioniert. Außerdem lässt sich bei SSTP VPN Client IPv6 deaktivieren, beziehungsweise ist es per Standard abgeschaltet. Das verhindert natürlich das berüchtigte IPv6-Leck.

Die Apps der VPN Provider laufen meist nur mit OpenVPN.

Für Android taugt meiner Meinung nach nur der der kostenpflichtige SSTP-Client

Nur der kostenpflichtige SSTP-Client für Android hat mich wirklich überzeugt

Unterstützung für SSTP unter Linux / Ubuntu installieren

Setzt Du Ubuntu oder ein Derivat davon ein, kannst Du die SSTP-Unterstützung sehr einfach über ein sogenanntes PPA installieren. Es sind mehrere Ubuntu-Versionen unterstützt. Dazu gehören auch die beiden neueste LTS-Versionen Ubuntu 16.04 Xenial Xerus und Ubuntu 18.04 Bionic Beaver, somit also auch Linux Mint. Die Installation ist sehr einfach. Öffne ein Terminal und tippe die nachfolgenden Befehle ein:

sudo add-apt-repository ppa:eivnaes/network-manager-sstp
sudo apt update
sudo apt install network-manager-sstp

Bei älteren Ubuntu-Versionen musst Du vielleicht mit apt-get anstelle von apt und mit apt-add-repository anstelle von add-apt-repository arbeiten. Das Ergebnis ist aber das gleiche. Mit den Befehlen installierst Du nicht nur einen SSTP-Client, sondern gleich die grafische Konfigurationsmöglichkeit über den Netzwerkmanager. Der sieht bei den unterschiedlichen Versionen etwas anders aus, verhält sich im Prinzip aber gleich.

In den Netzwerkeinstellungen hast Du eine Option, mit der Du ein VPN einrichten kannst. Dort findest Du nun auch SSTP als Option. Bei Ubuntu 18.04 LTS sieht das zum Beispiel so aus.

Ubuntu SSTP installieren

SSTP unter Ubuntu 18.04 konfigurieren

Wunderst Du Dich gerade, warum OpenVPN keine Option ist? Auch den Client musst Du zunächst installieren, aber der befindet sich in den Standard-Repositories. Dafür reicht ein

apt install network-manager-openvpn

Aber OpenVPN ist nicht das Thema in diesem Beitrag.

IPv6 unter Ubuntu deaktivieren

Auch unter Ubuntu Linux lässt sich IPv6 deaktivieren und es ist nicht schwieriger als bei Windows. Öffne einfach die Netzwerkeinstellungen und deaktiviere es.

Ubuntu IPv6 deaktivieren

IPv6 unter Ubuntu Linux deaktivieren

Abschließende Gedanken

Ich würde grundsätzlich zuerst OpenVPN, WireGuard oder eine Verschleierungs-Option wählen. Aber manchmal geht es einfach nicht anders oder ein Umgehen der VPN-Sperre via SSTP ist einfacher. Gerade unter Android starte ich den SSTP-Client gerne, da er wirklich tadellos funktioniert und mich bisher nie im Stich gelassen hat.

Wie bereits erwähnt, ist es gut, Alternativen zu haben. Ich bin gerne und teilweise viel unterwegs. Nicht nur Hotels und so weiter sperren VPNs, sondern auch Länder. Sie versuchen zu zensieren und teilweise ist das richtig nervig. Eine meiner Lösungen hat bisher noch immer funktioniert und deswegen setze ich auf mehrere VPN-Anbieter oder Lösungsansätze. SSTP ist proprietär, aber es funktioniert sogar unter Linux ganz gut. Aus diesem Grund halte ich mir die Option offen und installiere den SSTP-Client grundsätzlich unter Linux mit.

Sollten alle die Lösungen hier nicht funktionieren, dann liegt das Problem vielleicht an anderer Stelle. Probleme mit VPNs können auch andere Gründe haben.

Was ich derzeit für VPNs benutze?

Im Moment benutze ich entweder NordVPN, AirVPN oder ich gehe über meinen eigenen Server. NordVPN ist derzeit mein Favorit, weil sie mir einen Testzugang zur WireGuard-Implementierung gegeben haben und das ist der Hammer.

Suchst Du ein VPN für Linux mit einem grafischen Client, dann empfehle ich Dir PIA (Private Internet Access). Der Client ist top und es gibt ihn sogar auf Deutsch.

Von kostenlosen VPNs nehme ich komplett Abstand. Habe ich früher benutzt, mach ich aber nicht mehr. Kostet es nichts, bist Du meistens das Produkt!

Swift ist ein bedingungsloses Krypto-Einkommen - ich hole mir jeden Tag meine 100 ab.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
)
oder

Bitcoin-Adresse: 17F1hqc9LgsAC19DPv5PaRbqsEhuE8AmAA

Ethereum-Adresse: 0x9cc684575721dc07b629ad5d81b43ab4b992e76e

Verge-Adresse: DJaJtZeW494xhnRJJt19Lnt2R5pz7zRp5A

Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!

 
 Alle Kommentare als Feed abonnieren

Antworten