Kategorie: Cloud

Für mich waren die Möglichkeiten eines VPN (Virtual Private Network) immer klar umgrenzt. Aber ich habe eine neue Erfahrung gemacht, die meine Sichtweise nachhaltig verändert hat.

Im beruflichen Umfeld geht es bei VPN in der Regel um Site-2-Site Tunnel. Also darum, zwei Netzwerke miteinander zu verbinden, in dem man zwischen ihnen einen Tunnel aufbaut und ggf. ein Transport-Netz erstellt. Es gibt auch die Möglichkeit einzelne Endgeräte wie Notebooks oder Handys in ein Unternehmensnetzwerk zu holen um Tools verfügbar zu machen und Sicherheits- und Compliance Richtlinien einzuhalten. Aber auch hier steht ein bestehendes ^(physisches) Netzwerk im Fokus.

Im privaten Umfeld gibt es zwei typische Anwendungen. Zum einen kann man über ein VPN seinen Standort „verschleiern“, Geo-IP umgehen, in dem man einen Tunnel zu einem „Exit“-Node aufbaut, der dann als Router fungiert und den Ursprung maskiert – gerne auch direkt im Browser oder als Plugin ^{(davon halte ich natürlich gar nichts – aus guten Gründen, aber das geht hier zu weit)}.
Der andere Zweck ist bei Gamern ^{(zumindest früher)} beliebt. Hier geht es darum LAN Spiele ^{(leider eine aussterbende Rasse)}, also Spiele für lokale Netzwerke, auch über das Internet zusammen zu spielen, in dem man die beteiligten Rechner in einem zusätzlichen, virtuellen Netzwerk zusammen fasst.

Wenn man bei Cloudinfrastrukturen also von VPN as a Service spricht, dachte ich folglich daran ein bestehendes Netzwerk im Rechenzentrum ^{(in der Cloudinfrastruktur)} mit einem definierten Außen zu verbinden: Site-2-Site oder Host-2-Site. Ich habe VPNaaS also „nur“ als gemanagten VPN Endpoint betrachtet – ein gravierender Irrtum, wie sich herausstellte.

Während einer Produktpräsentation wurde in einem Nebensatz erwähnt, wie man mit einer 3rd Party VPNaaS Lösung mehrere Local Zones integrieren kann. Daher habe ich es natürlich ausprobiert und bin total weggeflasht!

Wenn man den Dropps gelutscht hat, dass man einem 3rd Party Daemon mit root-Rechten auf seinen Rechnern installiert und diese remote konfiguriert werden, eröffnen sich sehr viel mehr Möglichkeiten als ich zu träumen gewagt hatte. Denn das, was gebaut wird ist kein Tunnel, sondern ein komplettes, privates Softwaredefined Network (pSDN). Man gruppiert die Maschinen, richtet Routen ein, definiert Exit-Nodes und Richtlinien. Ein eigener DNS-Server, der übergreifend funktioniert ist auf einmal einfach. Mit MagicDNS können auch lokale DNS Server unterschiedlicher Netze kombiniert werden. Filter, Firewalls, Internetbreakouts – alles einfach und einfach so.

Ich habe eine kleine Demo-Umgebung aufgebaut, vier Instanzen in verschiedenen Ländern. Diese in einem Netzwerk konsolidiert, aus Spaß als Exit-Nodes vorbereitet und weil es einfach möglich war noch einen fünften Server in einer fünften Location dazu genommen und als DNS-Blakhole ^(Pi-Hole) konfiguriert. Ein kleiner Test mit einem Client auf meinem Handy war sofort erfolgreich:
Werbe- und Trackerfreies Internet per connect-click, über die Welt springen per Exit-Node Auswahl, Zugriff auf privates Nextcloud und so weiter.
Nur einige Minuten später waren weitere Geräte eingebunden, der Media-Server zu Hause, File-Server, Stereo-Anlage, iPad, Gaming Rechner, … Selbst der echte Pi-Hole^{(weil er wirklich auf einem Pi läuft)} zu Hause fungiert up-stream zur Auflösung der Geräte im WLAN.

In nicht mal 30 Minuten, inklusive Lesen der notwendigen Dokumentation, waren alle Geräte vernetzt und zugreifbar. Starte ich auf meinem Game-Server im DC eine neue LAN-Instanz, kann ich Sie sofort nutzen. Ein Bild, Songtitel? Irgendwas, dass nicht auf meinem Cloud-Storage liegt? Verfügbar. Der Moode braucht ein Update? Sofort, von überall.

Wie weit diese Technik ausreift ist, war komplett an mir vorüber gegangen. Das gute alte VPN und VPNaaS haben ca. noch so viel gemeinsam, wie ein Auto mit einem Sci-Fi Raumschiff. Ich bin total begeistert! Ein Admin-Leben, in dem man das Internet als Angriffsvektor sekundär betrachten kann. Total super, oder nicht?