Prof. Dr. Detlef Stern

Tinc VPN

Ein „virtuelles privates Netzwerk“ (kurz: VPN) ist für viele Szenarien der Internet-basierten Kommunikation eine sinnvolle Ergänzung. Nutzt man zum Beispiel ein öffentliches WLAN, so besteht das Risiko, auf falsche Webseiten gelockt zu werden. Ein Angreifer braucht nur ein eigenes, offenes WLAN mit einem üblichen Namen (zum Beispiel „Telekom“, „Freifunk“, …) aufzuspannen und kann mit Hilfe eines eigenen DNS-Servers selbst Suchanfragen auf eine eigene Webseite umleiten. Wenn diese Webseite der Originalseite ähnlich ist, fällt kaum einen der Unterschied auf. Also besser nicht das Online-Banking im öffentlichen WLAN ausführen… Nutzt man statt dessen ein VPN, ist dies so nicht möglich.

Ein anderes Szenario ist der Zugriff von unterwegs auf einen Rechner im heimischen Netz.

Für das erste Szenario könnte man auch einen kommerziellen VPN-Anbieter nutzen, muss diesem aber vertrauen können. Oder man betreibt, wie im zweiten Szenario angedeutet, das VPN selbst. Dafür muss man aim eigenen Router einen Port freischalten. Manche (Kabel-) Netzbetreiber erlauben dies aber nicht immer. Trotzdem muss man nicht auf die Annehmichkeiten eines selbst betriebenen VPNs verzichten.

Die Lösung heißt Tinc VPN, kurz „Tinc“.

Im Unterschied zu einer Lösung mit dem üblichen OpenVPN (oder dem aufstrebenden WireGuard muss man sich nicht mit einen Gateway-Server verbinden. Mit Hilfe von Tinc spannt man vielmehr ein eigenes, verteiltes, virtuelles Netzwerk aus vielen Knoten auf, an dem nur die eigenen Rechner teilnehmen. Dazu muss man sich natürlich auch mit einem Server verbinden. Dieser liegt aber nicht mehr unbedingt hinter dem eigenen Router, sondern kann auch ein extern gehosteter Rechner sein, der allgemein erreichbar ist. Ich selbst betreibe zwei solcher Rechner, um bei Ausfällen etwas mehr auf der sicheren Seite zu sein. Alle anderen Rechner des VPN verbinden sich explizit mit diesen extern gehosteten Rechnern. Das geht auch ohne Port-Freischaltung.

Tinc ist für die üblichen Betriebssysteme verfügbar, mit Ausnahme von iOS. Die Einrichtung ist etwas kniffelig, Einige Kenntnisse über grundlegende Internet-Protokolle vorausgesetzt, helfen die Dokumentation und die Beispiele gut weiter. Da Tinc keine besonderen Anforderungen stellt, können die extern gehosteten Rechner gerne etwas günstiger sein. Man benötigt allerdings Rechte eines Systemadministrators. Wer sich etwas umschaut findet angemessene virtuelle Server (vServer) schon für 1€ pro Monat. Diese reichen völlig aus.

Ich selbst habe Tinc auf jeden meiner Rechner installiert. Sobald ein Rechner eine Internet-Verbindung hergestellt hat, verbindet er sich zu den gehosteten Rechnern und nimmt automatisch am VPN teil. Dabei kann er sich mit jedem aktiven Rechner des VPNs verbinden, egal wo sich dieser tatsächlich befindet. Na ja, fast: für den ultraportablen Computer unter Android muss ich mich noch immer explizit verbinden.

In diesem Sinne ist Tinc eine gute Alternative zu den üblichen VPN-Anwendungen, bietet einiges an Mehrwert und erlaubt mir, ohne viel nachzudenken, eine einfache, sichere Nutzung des Internets.