Sicheres Surfen im fremden WLAN – self-hosted VPN vs. Netguard FW

Hallo,

für jemand Älteren in der Verwandtschaft (wenig IT-Erfahrung) entstand die Frage zur Sicherheit beim Surfen in einem fremden WLAN im Rahmen notwendiger längerer Abwesenheit von daheim (in Deutschland).
Geplante Nutzung zum Surfen, Mailen, Streamen und für Messengerdienste vorgesehen; aber z.B. kein Onlinebanking.
System: Fairphone mit Custom ROM (Calyx). Vorwiegend, aber nicht auschließlich sind wohl Apps aus dem F-Droid Store aufgespielt.
Im Heimnetz sind dort durch Angehörige eine Fritzbox und ein Pihole als local Resolver mit Unbound installiert.

Die Frage zur Übertragungssicherheit:
Besser ein VPN mit Wireguard zur eigenen Fritzbox daheim schalten mit Adblocking durch Pihole und zur Nutzung des VPNs Netguard abschalten
oder
kein VPN und lieber Netguard eingeschaltet belassen, um dadurch z.B. zusätzlich zum Adblocking auch Apps den Netzzugriff verweigern zu können?
Man könnte ja argumentieren, dass ohne Übertragung von besonders sensiblen Daten
die Webseiten- bzw. Transportverschlüsselungen etwa von Mails auch in einem fremden WLAN ausreichend sind.
Wie ist dazu eure Meinung/Empfehlung?

Ich persönlich nutze außerhalb des heimischen WLAN immer einen VPN per Wireguard nach Hause - jedoch nur für DNS, da es mir hierbei tatsächlich nur um das Adblocking des PiHole geht. Der eigentliche Traffic geht also weiterhin über das fremde WLAN oder Mobilfunknetz. Websites ohne SSL rufe ich eh nicht auf, sodass ein fremder WLAN-Betreiber maximal die Domains sehen kann, die ich aufrufe. Da ist mir der Vorteil hinsichtlich Geschwindigkeit dann wichtiger.

Vielen Dank Acrux für die Antwort.
Nur zum Verständnis nachgefragt:
Wenn du ein VPN geschaltet hast geht doch der gesamte Traffic z.B. von deinem mobilen Gerät darüber. Oder wie trennst du die DNS-Anfrage vom übrigen Datenverkehr?
Oder habe ich etwas mißverstanden?

Ich würde alles über einen VPN laufen lassen, nicht nur die DNS Abfragen. Besteht in Calyx nicht auch die Möglichkeit, der App über die Berechtigungen den Zugriff aufs Internet zu verbieten?

Nicht zwingend. Du kannst das Wireguard config-file ja beliebig anpassen und bspw. nur Anfragen an bestimmte IPs über den Tunnel routen - oder eben ausschließlich DNS queries. Ob das empfehlenswert ist oder sinnvoll, ist je nach Anwendungsfall wieder die andere Frage.

1 „Gefällt mir“

Wie viel langsamer wäre es denn alles über Wireguard laufen zu lassen?

So mache ich es.
Dauerhafte Verbindung sowohl in Deutschland als auch verschiedene Länder.

Da ich so selbst Videos streame, Frage ich mich was für jemanden langsam ist.

So kann ich immer auf meinen Server zugreifen ohne das dieser dem Internet zur Verfügung steht.
Dazu Pi Hole immer am Start.

In fremde WLANs logge ich mich dennoch nicht ein sonder habe EU Roaming und im nicht EU Land besorgen ich immer ne Prepaid Karte und mache mir einen eigenen Hotspot damit. Letzteres benötige ich aber vllt alle paar Jahre mal.

WireGuard ist doch so gut weil einfach, sicher und schnell.

So wie ich den Setup verstehe, hängt die Geschwindikeit dann von der Internetanbindung des Heimnetz ab. Wenn man dort nicht gut versorgt ist und einen langsamen Upload hat, kann das schon behindern.

1 „Gefällt mir“

Oder du mietest dir einen V-Server (3 EUR / Monat) und installierst dir dort den VPN Server und bei Bedarf noch pi-hole o.ä.

Aktuell ganz ok, da die Leitung (500/250) daheim ausreichend schnell ist. Aber auch da gibt’s ja Performance-Verluste durch den VPN, auch bei Wireguard. Und da ich von unterwegs auch mal ein paar hundert GB hochlade und dann dort ins Cap der Leitung Zuhause renne, nutze ich eben Split-Tunneling. Über 5G erreiche ich schon mal 130 Mbit/s im Upload, in manchen öffentlichen Netzwerken auch mal 500 und mehr, da macht die Leitung daheim dann leider schlapp, und deshalb …

… ist das auch keine Lösung. Hetzner bspw. garantiert keine Geschwindigkeit, üblicherweise sind bei deren Cloud-Tarifen konstant 200 MBit/s möglich.

Ich habe einen Mobilfunktarif ohne Datenlimit (im EU-Ausland leider Cap bei 80GB/Monat), daher nutze ich ebenfalls kaum öffentliche Netzwerke, außer der Mobilfunkempfang ist schlecht. Dadurch erübrigt sich der VPN aber dann auch wieder ein wenig - ob die Telekom jetzt über das Mobilfunknetz oder über den FTTH-Anschluss daheim sieht, welche Domains ich aufrufe, ist dann auch egal :smiley:

Ich war vor Kurzem wieder ~2 Wochen unterwegs und lasse auch grundsätzlich allen Traffic (nicht nur die DNS Queries) meiner Mobilgeräte über mein heimisches Wireguard-VPN (seit Release des Features einfach in der Fritzbox konfiguriert, vorher über einen RasPi) laufen.

Dient erstens dem Filtern per heimischem PiHole und zweitens der Tatsache, dass ich in unbekannten Netzen keine unnötigen Spuren hinterlassen möchte.
Falls man mal was streamen möchte, was nur aus Deutschland heraus funktioniert, löst es das Problem natürlich auch.

Beim Verbindungsaufbau, eine halbe Erdumdrehung entfernt, bemerkt man, dass es kurz dauert, spielt aber so gut wie keine Rolle.
Außer für Echtzeitanwendungen wüsste ich keinen Grund, den VPN deswegen zu deaktivieren.
Meine DSL Leitung zuhause ist viel zu stark, als dass ich sie mit einem Mobilgerätestreaming irgendwie auslasten könnte.

In meinem (noch) Standard Android kann ich übrigens für den VPN noch auswählen, dass er a) immer eingeschaltet sein soll und b) sämtlicher Traffic, der nicht darüber geht, geblockt werden soll.
So ganz erschließt sich mir die Option aber nicht, da das ja ohnehin der Fall sein sollte, sobald ich den Wireguard mit 0.0.0.0/0 Destination einschalte.
Möglicherweise ja für diejenigen gedacht, die dort beschränken und dem Gerät exklusiv Zugriff auf bspw. ihr Heimnetz gewähren wollen.

2 „Gefällt mir“

Der Vorteil von einem VPN zur eigenen FritzBox ist auch, dass man, zumindest bei VoIP bei Festnetz, über die eigene FritzFon-App mit seiner normalen Festnetznummer telefonieren kann. Ob das auch beim klassischen Anschluss geht, weiß ich nicht. Je nachdem wo man ist, kann dies kostengünstiger sein.

Dieser Aspekt ist mir nur noch eingefallen.

Ich mache das genauso, wie von @Crey beschrieben: VPN via Wireguard zur FB daheim und gut ist.

Allerdings habe ich immer das Problem, wenn ich das Haus verlasse und vergesse auf VPN umzuschalten, bin ich eben bis ich es merke ohne VPN. Die Automatisierung die mir mein Android anbietet funktioniert nur soweit, daß das Menü des VPN aufploppt, aber den Verbindungsaufbau muß ich händisch übernehmen. Laut Gerät geht die Automatik nur, wenn ich die systemeigene VPN Verbindung nutzen würde.

Hat noch jemand das Problem und wie setzt er es um?

Ich habe dieses Problem.
Mit mehr und mehr Training verpasse ich das Einschalten aber zunehmend seltener.
Ich deaktiviere das WLAN eh, wenn ich mein Zuhause verlasse, mit der Zeit hat sich der Automatismus mehr und mehr um den zweiten Button erweitert.

Das Ärgerliche ist: in der Wireguard App auf iOS kannst du Netzwerkausnahmen hinzufügen.
Im Grunde seit ich die App kenne.
Heimnetz hinzugefügt und nie mehr ein Problem damit haben.
Ich habe das bei Wireguard schon vor vielen Monaten moniert und um Ergänzung für Android gebeten - nichts.

Natürlich könnte ich es auch einfach im heimischen WLAN aktiv lassen, aber allein das zusätzliche Icon in der Statusbar nervt.

Habe ein ähnliches Setup, Pi-Hole und PiVPN mit Wireguard.

Es gibt im F-Droid die App Automation
Hier die Anleitung dazu.

und im Playstore die App Automate (Trackerfrei).
Eine Anleitung dazu findest du hier

Funktionieren beide, allerdings muß der Standort aktiviert sein.
Für mich war das keine Option. Deswegen VPN dauerhaft angeschaltet. :woman_shrugging:

@bsg Danke für die Rückmeldung, dann gewöhne ich mich lieber, wie @mabu daran, immer Einzuschalten wenn ich aus dem heimischen WLAN raus bin.

Das habe ich bei mir mittels der App tasker gelöst (wireguard vorausgesetzt).

Ist mein Smartphone nicht mit meinem heimischen wlan verbunden, dann wird über

WireGuardSetTunnel(true,VPNNAME)

vpn aktiviert.
false deaktiviert es übrigens wieder.
Unter wireguard muss allerdings die tunnelsteuerung über externe Apps zugelassen werden.

1 „Gefällt mir“

Habe ich etwas verpasst?

Ich lasse die WireGuard Verbindung zur Fritzbox dauerhaft an.

Egal ob im WLAN oder unterwegs.

Nutze Android und muss da nichts aktivieren.

Zusätzlich habe ich in den VPN Einstellung aber aktiviert das eine Datenübertragung nur stattfindet wenn auch eine VPN Verbindung steht.

So kann es mir nie passieren ohne da zu stehen.

Vielen Dank für die interssanten Erfahrungsberichte.

Dazu in die Runde ein paar Fragen:
1.
Ihr verzichtet auf eine VPN-Firewall (z.B. Netguard)auf dem mobilen Gerät und nutzt grundsätzlich
das VPN zum heimischen Router&Pihole via eurem Mobilfunkprovider oder ggf. in einem fremden WLAN?

An alle, die eine Fritzbox haben:
Wie habt ihr die Wireguard-Verbindung hergestellt ?
a)
Per Myfritz?
b)
Einen DynDNS-Anbieter - ggf. welchen und warum gerade diesen (Gründe der Sicherheit/Usability)?

Meine Beobachtung zur Nutzung von Myfritz für ein VPN:
Wenn man dort ein Konto in der Fritzboxoberfläche angelegt und den Bestätigungslink im Browser eingegeben hat, so muss man offensichtlich ein Googlecaptcha lösen, um ein Passwort eingeben bzw. bestätigen zu können. Eine solche Registrierung erscheint mir aber sicherheitsrelevant als Absicherung für das Konto zu sein.
Außerdem kann man dann in den Kontoeinstellungen die automatische Pushmail mit der Statusinfo zur Fritzbox abbestellen, die ich zumindest nicht brauche und nicht will.
Allerdings gibt es für letzteres noch eine andere Option - nämlich per Lin, ok.
Jedenfalls finde ich die notwendige Bestätigung mit einem Googlecaptcha schlecht von AVM gelöst und sicherheitstechnisch bedenklich. Welche Daten gehen da wieder an Google?

Bohrt ein VPN zum heimischen Router nicht doch ein Loch in dessen Firewall - wenn auch in keinem Vergleich wie ein Port Forwarding?

Wie seht ihr diese Punkte?

Ja, bei mir wird der WireGuard-Tunnel bei Mobilfunk automatisch aktiviert. Mein pi-hole filtert dann alles raus, was ich nicht haben will.

Ja, dieses Loch ist notwendig. Ist aber auch entsprechend durch die Sicherheitsschlüssel abgesichert.

zu 1: Ich verzichte grundsätzlich auf „Sicherheits“ Apps, die VPN beanspruchen. Mein VPN gehört mir! :smiley: Zwei Varianten:
A) iodé hat eine Filter-App bereits ins System integriert. So braucht sie weder extra root noch die VPN-Krücke.
B) Auf einem LOS 20 (A13) habe ich mir mit magisk root-Rechte geholt. Damit läuft Adaway bestens, ohne VPN zu verbiegen.