Was ist Stealth VPN oder OpenVPN via SSH, SSL, obfsproxy?
Beschäftigt Dich das Thema VPN, dann bist Du vielleicht schon einmal über die Begriffe Stealth VPN, Obfuscated VPN oder Verschleierung gestolpert. Du hast Dich vielleicht auch gefragt, was sie genau bedeuten. Ich erkläre Dir, was Stealth VPN ist und zeige Dir anhand von Beispielen, wann Du die Verschleierungs-Technologie brauchst.
Tipp: Die verschleierten Server von NordVPN (günstig und schnell!)* leisten mir gute Dienste.
Warum brauche ich ein Stealth VPN?
Du weißt vielleicht, dass einige Länder wie China, Russland, die Türkei oder Ägypten VPNs sperren und Inhalte zensieren. Auch in manchen Firmen oder Schulen wird versucht, den Einsatz eines VPNs zu unterbinden. Die Regierungen oder Internet Service Provider müssen dazu aber erst einmal den VPN-Datenverkehr erkennen oder eben Ports sperren.
Es gibt mehrere Möglichkeiten, wie sich VPNs sperren lassen. Eine relativ einfache Sperre ist, die jeweiligen Ports zu blockieren. OpenVPN läuft zum Beispiel per Standard auf Port 1194 und wenn der gesperrt ist, dann kann ich mich nicht einwählen. So eine Sperre lässt sich sehr einfach umgehen. Der VPN Provider muss für OpenVPN einfach nur weitere Ports zur Verfügung stellen.
Es werden die IP-Adressen der VPN-Anbieter blockiert. Zumindest versuchen manche das. Allerdings ändern die Anbieter die IP-Adressen und spielen hier mit den Schnüfflern Hase und Igel. So eine Blockade ist theoretisch möglich, funktioniert aber eher schlecht als Recht.
Eine weitere Option ist, das jeweilige VPN-Protokoll zu blockieren. Es stehen mehrere Protokolle zur Verfügung, mit denen Du über einen verschlüsselten Tunnel kommunizieren kannst. Sogenannte DPI (Deep Packet Inspection) entdeckt solche Protokolle möglicherweise und blockiert sie entsprechend. OpenVPN benutzt zwar TLS/SSL als Verschlüsselung, aber das Protokoll unterscheidet sich geringfügig von echtem SSL. Deswegen kann DPI es erkennen und sperren. Manchmal sind nur gewisse Protokolle gesperrt. Uns hat schon häufig der Einsatz von SSTP geholfen, um Sperren zu umgehen.
Regierungen wie China mit dem Projekt Goldener Schild (Great Firewall of China) führen große Anstrengungen durch, um alle möglichen VPN-Verbindungen zu sperren. Nur VPNs mit einer Lizenz funktionieren offiziell, aber die Verbindungen müssen dann durch die Server der Regierung laufen und damit ist das ganze Virtual Private Network an sich obsolet.
Länder zensieren WhatsApp, Facebook, Google und so weiter
In diversen Ländern ist auch der Zugriff auf WhatsApp, Facebook Messenger, Google Services wie YouTube oder Skype gesperrt. Den staatlichen Telefongesellschaften sollen durch die Blockade der kostenlosen Anbieter zum Beispiel keine Einnahmen entgehen. Viele Menschen nutzen die Services, um mit Freunden und Familie in Verbindung zu bleiben. Persönlich benutze ich mehr und mehr Threema und versuche, das auch anderen näher zu bringen.
Andere Länder zensieren Zugriff auf bestimmte Websites, deren politische Meinung sie nicht vertreten. Ob Du diese Websites nutzen würdest oder nicht, tut erst einmal nichts zur Sache. Auf jeden Fall möchtest Du das Internet ohne Hindernisse benutzen und dabei hilft ein dir VPN, sofern es nicht blockiert wird.
Um die Sperren zu umgehen, muss also eine Lösung gefunden werden und die gibt es auch.
Stealth hört sich nach Tarnmodus an
Im Grunde genommen ist es tatsächlich ein Tarnmodus. Bietet ein VPN Provider einen Stealth-Modus an, wird der Datenverkehr verschleiert. Der Traffic sieht wie ganz normaler Web-Datenverkehr aus und lässt sich somit kaum sperren. Vereinfacht gesagt denkt eine Firewall, dass es sich um ganz normalen HTTPS Traffic handelt und in diesem Fall gibt es keinen Grund für eine Sperre.
Auf jeden Fall ist es für Regierungen und ISPs wesentlich schwieriger, VPN-Verbindungen zu erkennen. Du kannst damit in den meisten Fällen VPN-Sperren und Zensur umgehen.
Verschiedene VPN-Anbieter nutzen unterschiedliche Methoden für die Verschleierung. Weiterhin bezeichnen manche VPN Provider den Stealth-Modus etwas unterschiedlich.
Diverse VPN-Anbieter haben ein Stealth VPN im Angebot. Dazu gehört auch NordVPN (günstig und schnell!)*. Ich habe den Stealth-Modus von NordVPN schon in verschiedenen Ländern einsetzen und brauchen können. Er funktioniert gut und Du findest die Option mit den verschleierten Servern auch in der Android App. Der Kommandozeilen-Client von NordVPN bietet in der Zwischenzeit ebenfalls die obfuscated Server als Option an.
AirVPN (ab 2 Euro)* setzt auf Open-Source-Technologie, um den OpenVPN Traffic zu verschleiern. Die Entwickler bieten OpenVPN über SSH, SSL oder Tor (The Onion Router) an. Das funktioniert eigenen Erfahrungen zufolge ebenfalls sehr gut als Stealth VPN auf dem Desktop. Die Einrichtung unter Android ist etwas komplex, da AirVPN keinen dedizierten Client für das Google-Betriebssystem anbietet. Das würden ich mir für die Zukunft noch wünschen, weil sich technisch weniger versierte Anwender an dieser Stelle garantiert schwer tun.Wie Du im Screenshot oben siehst, funktioniert der Client von AirVPN auch auf dem Raspberry Pi.
Windscribe* kann ebenfalls Stealth und seit einiger Zeit funktioniert das auch im Android Client.Meiner Meinung nach ist Windscribe das beste kostenlose VPN. Du bekommst bis zu 10 GByte Bandbreite pro Monat und der Tarnmodus verbindet Dich auch in Ländern mit starker Zensur. Für Streaming ist das zugegeben nicht sehr viel, aber Du kannst immer Mal aufrüsten, wenn Du willst.
Kurze Erklärung der einzelnen Stealth-Methoden
Wie bereits erwähnt, bieten diverse VPN Provider Stealth-Optionen an. Der Anbieter lässt damit den Datenverkehr wie normalen Web Traffic aussehen und somit kann ihn eine Firewall oder eine DPI-Komponente nicht als VPN-Datenverkehr einstufen. Viele VPN Provider setzen bei Stealth VPN nicht auf proprietäre Eigenentwicklungen, sondern auf offene Lösungen.
OpenVPN durch einen SSH-Tunnel
Bei dieser Methode wird OpenVPN in eine SSH-Schicht eingewickelt. Das DPI-System sieht in diesem Fall nur die äußere SSH-Schicht und für eine Firewall läuft SSH Traffic durch. Dass sich darin OpenVPN versteckt und Du mit einem VPN unterwegs bist, lässt sich nicht enthüllen.
Weil damit eine zusätzliche Schicht bei der Datenübertragung involviert ist, solltest Du mit etwas geringeren Geschwindigkeiten rechnen. Weiterhin muss der Server SSH-Verbindungen akzeptieren und auf dem Desktop benötigst Du eine Software, um den SSH-Tunnel zu etablieren.
SSH (Secure Shell) wird gerne von Linux- und Unix-Adminsitratoren zur Fernwartung genommen. Durch SSH lassen sich alle möglichen Services tunneln. Gerne werden zum Beispiel auch mit rsync via SSH Systeme synchronisiert oder Backups gemacht. Populärer als SSH ist hingegen …
OpenVPN durch SSL
SSL steht für Secure Socket Layer und wurde durch TLS (Transport Layer Security) abgelöst. An sich ließe sich das Protokoll schon als Alternative zu OpenVPN einsetzen und diverse Proxy Services tun das auch. Genau wie bei der Methode mit SSH kannst Du OpenVPN mit SSL umwickeln.
SSL-Tunnels werden mithilfe der plattformübergreifenden Software stunnel etabliert. Das Programm muss sowohl beim Client als auch beim Server eingerichtet werden. Das heißt auf Deutsch, dass Dein VPN Provider OpenVPN via SSL als Stealth-Methode anbieten muss.
Genau wie bei der SSH-Option ist auch hier mit geringen Einbußen bei der Geschwindigkeit zu rechnen.
OpenVPN via obfsproxy
Das Tool obfsproxy ist ein Unterprojekt von Tor. Es wurde entwickelt, um Daten zu verschleiern und damit kannst Du auch OpenVPN oder andere VPN-Protokolle verstecken.
Damit obfsproxy funktioniert, muss es ebenfalls auf dem Client und dem Server installiert sein. Der Server muss vereinfacht gesagt auf einem bestimmten Port lauschen, über den die Stealth-Verbindungen eingehen.
Das moderne obfs4 benutzt elliptische Kurvenkryptografie. Damit ist es sicherer als zum Beispiel die ScrambleSuit oder obfs3 und braucht außerdem weniger Rechenleistung.
VPN vor einer Reise holen
Bist Du auf Reisen und benutzt offene WLANs oder das Wi-Fi in einem Hotel oder Airbnb, solltest Du immer Dein VPN aktivieren. Du weißt nicht, wer das Netzwerk betreibt, wer sich darin befindet und in vielen Ländern schnüffeln Regierungen mit. Selbst Deutschland lauscht! Mit einem VPN kommunizierst Du über einen sicheren Tunnel und bist zumindest im Fremdnetzwerk des offenen WLANs sicher. VPNs sind bei Weitem kein Allheilmittel für den Datenschutz, aber eine zusätzliche Schutzschicht.
Reist Du in Länder, in denen VPNs gesperrt sind, ist der Abschluss eines Abonnements für ein VPN nicht immer leicht. Es werden die Websites von VPN-Anbietern gesperrt und so weiter.
Vielleicht willst Du hin und wieder einfach auch deutsches Fernsehen gucken und das ist mit VPN wesentlich einfacher.
Reist Du in ein Land, in dem stark zensiert wird und in dem VPNs gesperrt sind, hole Dir vor Reiseantritt ein VPN mit Stealth-Technologie!
Hast Du bei Einreise das VPN mit Stealth-Funktion bereits auf Deinem Laptop, Deinem Android- oder iOS-Gerät installiert, solltest Du das Internet störungsfrei nutzen können.
Kostenlose VPNs bringen Dir an dieser Stelle übrigens häufig wenig. Auch wenn es vertrauenswürdige VPN-Anbieter mit kostenlosen Versionen gibt, ist Stealth meist nur in kostenpflichtigen Angeboten enthalten. Legst Du Wert auf so eine Option, erkundige Dich vorher, ob der jeweiligen Anbieter ein Stealth VPN im Portfolio hat.
Bist Du ein digitaler Nomade oder reist gerne, ist ein VPN mit Stealth sowieso Pflicht. Zumindest können es sich viele nicht leisten, dass in gewissen Ländern bestimmte Services gesperrt sind. Klar gäbe es Workarounds, aber ich kann Dir aus eigener Erfahrung sagen, dass das nervig ist und zu viel Zeit kostet. Auf Reisen gehört ein vernünftiges VPN ins Gepäck. Das ist heutzutage so.
Schnäppchen!
Du suchst ein günstiges VPN? Dauerhaft günstige Angebote. Bei manchen Anbietern bekommst Du bis zu 83 % Rabatt plus 3 Monate kostenlos.
Auf der Schnäppchen-Seite findest Du auch Deals für Spiele, E-Books und so weiter.
Nette Pi-Konstellation
Suchst Du ein VPN für den Raspberry Pi? NordVPN* bietet einen Client, der mit Raspberry Pi OS (32-Bit / 64-Bit) und Ubuntu für Raspberry Pi (64-Bit) funktioniert.