{"id":35,"date":"2025-05-05T13:59:33","date_gmt":"2025-05-05T11:59:33","guid":{"rendered":"https:\/\/oder-nicht.de\/?p=35"},"modified":"2025-06-04T14:49:17","modified_gmt":"2025-06-04T12:49:17","slug":"vpnaas-aka-psdn","status":"publish","type":"post","link":"https:\/\/oder-nicht.de\/index.php\/2025\/05\/05\/vpnaas-aka-psdn\/","title":{"rendered":"VPNaaS aka pSDN?!"},"content":{"rendered":"\n<p>F\u00fcr mich waren die M\u00f6glichkeiten eines <strong>VPN<\/strong> (<strong>V<\/strong>irtual <strong>P<\/strong>rivate <strong>N<\/strong>etwork) immer klar umgrenzt. Aber ich habe eine neue Erfahrung gemacht, die meine Sichtweise nachhaltig ver\u00e4ndert hat.<\/p>\n\n\n\n<p>Im beruflichen Umfeld geht es bei VPN in der Regel um Site-2-Site Tunnel. Also darum, zwei Netzwerke miteinander zu verbinden, in dem man zwischen ihnen einen Tunnel aufbaut und ggf. ein Transport-Netz erstellt. Es gibt auch die M\u00f6glichkeit einzelne Endger\u00e4te wie Notebooks oder Handys in ein Unternehmensnetzwerk zu holen um Tools verf\u00fcgbar zu machen und Sicherheits- und Compliance Richtlinien einzuhalten. Aber auch hier steht ein bestehendes <sup>(physisches) <\/sup>Netzwerk im Fokus.<\/p>\n\n\n\n<p>Im privaten Umfeld gibt es zwei typische Anwendungen. Zum einen kann man \u00fcber ein VPN seinen Standort &#8222;verschleiern&#8220;, Geo-IP umgehen, in dem man einen Tunnel zu einem &#8222;Exit&#8220;-Node aufbaut, der dann als Router fungiert und den Ursprung maskiert &#8211; gerne auch direkt im Browser oder als Plugin <sup>(davon halte ich nat\u00fcrlich gar nichts &#8211; aus guten Gr\u00fcnden, aber das geht hier zu weit)<\/sup>. <br>Der andere Zweck ist bei Gamern <sup>(zumindest fr\u00fcher)<\/sup> beliebt. Hier geht es darum LAN Spiele <sup>(leider eine aussterbende Rasse)<\/sup>, also Spiele f\u00fcr lokale Netzwerke, auch \u00fcber das Internet zusammen zu spielen, in dem man die beteiligten Rechner in einem zus\u00e4tzlichen, virtuellen Netzwerk zusammen fasst. <\/p>\n\n\n\n<p>Wenn man bei Cloudinfrastrukturen also von <strong>VPN<\/strong> <strong>a<\/strong>s <strong>a<\/strong> <strong>S<\/strong>ervice spricht, dachte ich folglich daran ein bestehendes Netzwerk im Rechenzentrum <sup>(in der Cloudinfrastruktur) <\/sup>mit einem definierten <em>Au\u00dfen<\/em> zu verbinden: Site-2-Site oder Host-2-Site. Ich habe <strong>VPNaaS<\/strong> also &#8222;nur&#8220; als gemanagten VPN Endpoint betrachtet &#8211; ein gravierender Irrtum, wie sich herausstellte.<\/p>\n\n\n\n<p>W\u00e4hrend einer Produktpr\u00e4sentation wurde in einem Nebensatz erw\u00e4hnt, wie man mit einer 3rd Party VPNaaS L\u00f6sung mehrere Local Zones integrieren kann. Daher habe ich es nat\u00fcrlich ausprobiert und bin total weggeflasht!<\/p>\n\n\n\n<p>Wenn man den Dropps gelutscht hat, dass man einem 3rd Party Daemon mit root-Rechten auf seinen Rechnern installiert und diese remote konfiguriert werden, er\u00f6ffnen sich sehr viel mehr M\u00f6glichkeiten als ich zu tr\u00e4umen gewagt hatte. Denn das, was gebaut wird ist kein Tunnel, sondern ein komplettes, <strong>p<\/strong>rivates <strong>S<\/strong>oftware<strong>d<\/strong>efined <strong>N<\/strong>etwork (<strong>pSDN<\/strong>). Man gruppiert die Maschinen, richtet Routen ein, definiert Exit-Nodes und Richtlinien. Ein eigener DNS-Server, der \u00fcbergreifend funktioniert ist auf einmal einfach. Mit MagicDNS k\u00f6nnen auch lokale DNS Server unterschiedlicher Netze kombiniert werden. Filter, Firewalls, Internetbreakouts &#8211; alles einfach und einfach so.<\/p>\n\n\n\n<p>Ich habe eine kleine Demo-Umgebung aufgebaut, vier Instanzen in verschiedenen L\u00e4ndern. Diese in einem Netzwerk konsolidiert, aus Spa\u00df als Exit-Nodes vorbereitet und weil es einfach m\u00f6glich war noch einen f\u00fcnften Server in einer f\u00fcnften Location dazu genommen und als <em>DNS-Blakhole<\/em> <sup>(Pi-Hole) <\/sup>konfiguriert. Ein kleiner Test mit einem Client auf meinem Handy war sofort erfolgreich: <br>Werbe- und Trackerfreies Internet per connect-click, \u00fcber die Welt springen per Exit-Node Auswahl, Zugriff auf privates Nextcloud und so weiter.<br>Nur einige Minuten sp\u00e4ter waren weitere Ger\u00e4te eingebunden, der Media-Server zu Hause, File-Server, Stereo-Anlage, iPad, Gaming Rechner, &#8230; Selbst der <em>echte<\/em> Pi-Hole<sup>(weil er wirklich auf einem Pi l\u00e4uft)<\/sup> zu Hause fungiert up-stream zur Aufl\u00f6sung der Ger\u00e4te im WLAN. <\/p>\n\n\n\n<p>In <strong>nicht mal 30 Minuten<\/strong>, inklusive Lesen der notwendigen Dokumentation, waren alle Ger\u00e4te vernetzt und zugreifbar. Starte ich auf meinem Game-Server im DC eine neue LAN-Instanz, kann ich Sie sofort nutzen. Ein Bild, Songtitel? Irgendwas, dass nicht auf meinem Cloud-Storage liegt? Verf\u00fcgbar. Der Moode braucht ein Update? Sofort, von \u00fcberall. <\/p>\n\n\n\n<p>Wie weit diese Technik ausreift ist, war komplett an mir vor\u00fcber gegangen. Das gute alte VPN und VPNaaS haben ca. noch so viel gemeinsam, wie ein Auto mit einem Sci-Fi Raumschiff. Ich bin total begeistert! Ein Admin-Leben, in dem man das Internet als Angriffsvektor sekund\u00e4r betrachten kann. <strong>Total super, oder nicht?<\/strong><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>F\u00fcr mich waren die M\u00f6glichkeiten eines VPN (Virtual Private Network) immer klar umgrenzt. Aber ich habe eine neue Erfahrung gemacht, die meine Sichtweise nachhaltig ver\u00e4ndert hat. Im beruflichen Umfeld geht es bei VPN in&#46;&#46;&#46;<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,5],"tags":[],"class_list":["post-35","post","type-post","status-publish","format-standard","hentry","category-cloud","category-it"],"_links":{"self":[{"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/posts\/35","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/comments?post=35"}],"version-history":[{"count":5,"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/posts\/35\/revisions"}],"predecessor-version":[{"id":46,"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/posts\/35\/revisions\/46"}],"wp:attachment":[{"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/media?parent=35"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/categories?post=35"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oder-nicht.de\/index.php\/wp-json\/wp\/v2\/tags?post=35"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}