Laptop mit VPN-Verbindung

VPN im Hotel-WLAN geht nicht? Das kannst Du tun.

Die Eigenarten eines WLANs im Hotel haben wir bereits im Artikel Hotel-WLANs behandelt. Es ging es um die Geschwindigkeit und die Stabilität von WLANs in Hotels. Neben diesen beiden Aspekten ist jedoch noch ein weiterer Punkt wichtig: Das WLAN sollte nicht eingeschränkt sein. Gerade Geschäftsreisende sind ggf. auf Internet-Dienste angewiesen, die ein 0815-Nutzer nicht nutzt. Dazu gehört z.B. der Aufbau einer VPN-Verbindung zum Firmennetzwerk des Arbeitgebers.

Disclaimer: Dies ist ein Artikel, der auf technische Aspekte eingeht. Du benötigst Grundkenntnisse der Netzwerktechnik, um die beschriebenen Punkte umsetzen zu können. Falls Du Probleme haben solltest, kontaktiere bitte einen Netzwerk-Spezialisten oder beschreibe Dein Problem in den Kommentaren unter diesem Artikel.

Problem

Nun zum eigentlichen Problem. Bei der Konfiguration eines WLANs kann ein Hotel zwischen zwei Modi wählen: Sie können einen ganz normalen, offenen Zugang zum Internet anbieten oder den Internetzugang einschränken. Eine Einschränkung bedeutet in diesem Fall die Einschränkung der verwendbaren Internet-Dienste. Vielleicht kennst Du die Konfiguration eines Gast-WLANs bei einer FRITZ!Box:

Eingeschränktes Gast-WLAN in einer FRITZ!Box

Die FRITZ!Box bietet für das Gast-WLAN eine Einstellung, um den Internetzugang auf das Surfen und Mailen einzuschränken.

Ein Hotel kann eine solche Einstellung verwenden. Sie beschränken den Internetzugang damit auf das Aufrufen von Webseiten sowie das Empfangen und Verschicken von E-Mails.

Technisch wird dies umgesetzt, indem lediglich einige sog. Ports freigeben werden. Für das Surfen im Internet sind es die Ports 80 für unverschlüsselte HTTP-Verbindungen und 443 für verschlüsselte HTTPS-Verbindungen. Für das Empfangen und Verschicken von E-Mails gibt es ebenso festgelegte Ports (110, 143, 25, 587, 465 etc.), die explizit vom Hotel freigegeben werden.

Alle nicht freigegebenen Ports werden blockiert. Dadurch möchte das Hotel vermeiden, dass über das Hotel-WLAN z.B. File-Sharing betrieben wird. File-Sharing-Dienste nutzen i.d.R. abweichende Ports, die durch die vorgenommene Einschränkung blockiert werden.

Die Blockierung von Nicht-Standard-Ports hat jedoch auch einen Nachteil. Hat das Hotel z.B. den Port 1194 nicht freigegeben, kann der Geschäftsreisende abends im Hotel keine Verbindung zum VPN-Netzwerk des Arbeitgebers aufbauen. Dies kann sehr ärgerlich sein und das Hotel-WLAN quasi unbrauchbar machen.

Lösung

Vorweg: Die Lösung beschreibt den Fall, dass als VPN-Lösung OpenVPN genutzt wird. Sie ist grundsätzlich auch für andere VPN-Lösungen anwendbar, muss jedoch unterschiedlich konfiguriert werden.

Nun zur Lösung. Wir haben bereits herausgefunden, dass die Ports 80 und 443 im Hotel-WLAN für’s normale Surfen im Internet freigegeben sind. Der VPN-Port 1194 (OpenVPN) wird jedoch blockiert.

Da HTTPS-Verbindungen (Port 443) sowie VPN-Verbindungen (Port 1194) auf SSL basieren, ist der Datenverkehr kaum unterscheidbar. Aufgrund dessen ist es möglich, dass wir unsere VPN-Verbindung von Port 1194 auf Port 443 umstellen. Dadurch tarnen wir den VPN-Datenverkehr als „normales“ Surfen im Web. Der Clou: Das Hotel-WLAN kann diesen Datenverkehr nicht mehr blockieren. Wir können trotz eingeschränktem WLAN eine VPN-Verbindung aufbauen.

Damit Deine VPN-Verbindung als HTTPS-Datenverkehr getarnt wird, musst Du an Deinem VPN-Server folgende Konfigurations-Parameter umstellen:

  • Umstellung des Ports von 1194 auf 443
  • Umstellung des Protokolls von UDP auf TCP (OpenVPN verwendet standardmäßig das UDP-Protokoll, unterstützt jedoch auch TCP)

Beim OpenVPN-Server muss dazu in der Server-Konfigurationsdatei (i.d.R. „/etc/openvpn/server.conf“) Folgendes angepasst werden:

Vorher:

port 1194
proto udp

Nachher:

port 443
proto tcp

Nachdem Du die Konfiguration Deines OpenVPN-Servers angepasst hast, musst Du diesen einmal neu starten. Anschließend wartet der OpenVPN-Server auf dem TCP-Port 443 auf Verbindungen. Damit auch Dein Notebook, Dein Smartphone etc. die VPN-Verbindung zum korrekten Port aufbauen, musst Du ebenfalls die clientseitige OpenVPN-Konfiguration anpassen. Passe dazu die ovpn-Datei (OpenVPN-Profil) an und importiere sie anschließend neu in Deinen OpenVPN-Client.

Vorher:

remote OPENVPN-SERVER-ADRESSE 1194 udp

Nachher:

remote OPENVPN-SERVER-ADRESSE 443 tcp

Im Anschluss sollte sich Dein VPN-Client über den TCP-Port 443 mit Deinem VPN-Server verbinden können.

Bitte beachte: Falls Du für Deinen VPN-Server an Deinem Router eine Port-Weiterleitung (NAT) eingerichtet hast, musst Du diese natürlich auch anpassen (von 1194/udp zu 443/tcp).

Fazit

Die Nutzung des HTTPS-„Kanals“ für die VPN-Verbindung ist eine gute Sache. Sie ermöglicht Dir, auch in eingeschränkten (Hotel-)WLANs eine Verbindung zu Deinem VPN-Netzwerk aufbauen zu können.

Die technische Anpassung ist schnell erledigt. Je früher Du die Umstellung vornimmst, desto besser. Je mehr VPN-Clients vorhanden sind, desto mehr OpenVPN-Profile musst Du nachträglich auf den neuen VPN-Port (443 statt 1194) umstellen.

Trotz dieses großen Vorteils gibt es zwei Nachteile, die eine Umstellung der VPN-Verbindung auf den TCP-Port 443 mit sich bringen:

  • Falls Du unter der Adresse Deines VPN-Servers bereits einen Webserver betreibst, der eine Webseite via HTTPS (Port 443) ausliefert, ist der Port 443 bereits belegt. In diesem Fall kannst Du diesen natürlich nicht für deinen VPN-Server verwenden.
  • Im Gegensatz zum UDP-Protokoll prüft das TCP-Protokoll, ob die Daten korrekt übertragen wurden. Durch diese zusätzliche Prüfung kann die VPN-Verbindung via TCP minimal langsamer sein als die VPN-Verbindung via UDP.

Trotz dieser Nachteile lasse ich meinen OpenVPN-Server auf Port 443 laufen, um uneingeschränkt eine VPN-Verbindung aufbauen zu können. Bisher gab es durch die Umstellung keine Probleme.

Hast Du bereits Erfahrung mit VPN-Verbindungen in (Hotel-)WLANs mit eingeschränkter Internetverbindung gemacht? Wie hast Du eventuelle Probleme gelöst? Schreib‘ Deine Erfahrungen gerne in die Kommentare. Ich freue mich auf weitere Ideen, wie man sicherstellen kann, jederzeit eine VPN-Verbindung aufbauen zu können.

Noch mehr Tipps und Tricks?

Im Buch Mehr als Home-Office" erfährst Du alles, was Du für die mobile Arbeit außerhalb der eigenen vier Wände wissen musst.

Weitere Infos gibt es auf der Info-Seite.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.