VPN

Der Collectu Hub bietet einen sicheren WireGuard VPN-Server, mit dem Sie sich von überall sicher mit Ihren Geräten verbinden können.

Info
WireGuard ist eine moderne, leistungsstarke VPN-Lösung, die einfach zu konfigurieren und äußerst sicher ist. Sie nutzt modernste Kryptografie und minimalen Code, wodurch sie schneller und sicherer ist als herkömmliche VPN-Protokolle.

Konzept

Jeder Benutzer und jede Organisation verfügt über eine eigene Schnittstelle auf dem Collectu VPN-Server.

Der Collectu VPN-Server leitet den Datenverkehr nicht an andere IPs als die in der Schnittstelle (z. B. 10.11.12.0/24) weiter.

Installation

  1. Installieren Sie den WireGuard-Client auf Ihrem Gerät: https://www.wireguard.com/install/
  2. Melden Sie sich bei Ihrem Collectu Hub-Profil an und navigieren Sie zu VPN.
  3. Legen Sie einen Namen fest und klicken Sie auf Peer erstellen.
  4. Laden Sie die generierte Konfigurationsdatei (.conf) herunter oder scannen Sie den QR-Code (für mobile Geräte).
  5. Importieren Sie die Konfiguration in Ihren WireGuard-Client und aktivieren Sie die VPN-Verbindung.
Sicherheit
  • Halten Sie Ihren WireGuard-Client auf dem neuesten Stand, um Sicherheitspatches zu erhalten.
  • Geben Sie Ihre VPN-Konfigurationsdatei oder privaten Schlüssel niemals an Dritte weiter.
  • Trennen Sie die Verbindung zum VPN, wenn Sie es nicht verwenden, um Ihre Angriffsfläche zu verringern.
  • Verwenden Sie für jedes Gerät eindeutige Peer-Konfigurationen – verwenden Sie Schlüssel nicht mehrfach.
  • Überprüfen Sie regelmäßig aktive Peers und entfernen Sie nicht verwendete Konfigurationen aus dem Collectu Hub.

Windows-Konfigurationsanleitung

Info
Ersetzen Sie die IP-Adresse 10.11.12.0/24 durch Ihr tatsächliches VPN-Schnittstellen-Subnetz, wenn Sie die Firewall- und Verbindungseinstellungen konfigurieren. Sie finden Ihr Subnetz im Collectu Hub unter den VPN-Einstellungen.

ICMP (Ping) für VPN-Subnetz aktivieren

Durch die Zulassung von ICMP-Datenverkehr werden Ping-Anfragen zur Netzwerkfehlerbehebung und Verbindungsüberprüfung innerhalb des VPN-Subnetzes ermöglicht.

Die folgenden Befehle aktivieren eingehende ICMPv4-Echoanfragen (Ping) speziell für Ihr VPN-Subnetz. Führen Sie diese Befehle in PowerShell als Administrator aus:

Englisch: Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -Profile Any -Enabled True -RemoteAddress 10.11.12.0/24

Deutsch: Set-NetFirewallRule -DisplayName "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend)" -Profile Any -Enabled True -RemoteAddress 10.11.12.0/24

Windows-Remotedesktopverbindung

Diese Befehle beschränken den Zugriff über das Remote Desktop Protocol (RDP) ausschließlich auf Geräte, die über das VPN verbunden sind, und erhöhen so die Sicherheit erheblich, indem sie unbefugten Zugriff aus dem öffentlichen Internet verhindern.

Aktivieren Sie alle Firewall-Regeln in der Gruppe „Remote Desktop“ für das VPN-Subnetz 10.11.12.0/24. Nur Geräte innerhalb dieses IP-Bereichs können RDP-Verbindungen herstellen:

Englisch: Set-NetFirewallRule -DisplayGroup "Remote Desktop" -Enabled True -Profile Any -RemoteAddress 10.11.12.0/24

Deutsch: Set-NetFirewallRule -DisplayGroup "Remotedesktop" -Enabled True -Profile Any -RemoteAddress 10.11.12.0/24

Netzwerkprofil festlegen und Remotedesktopdienst starten

Die folgenden Befehle konfigurieren das Netzwerkprofil als „Privat“ (erforderlich für lokale Netzwerk-Firewall-Regeln) und stellen sicher, dass der Remotedesktopdienst ausgeführt wird.

Schritt 1: Listen Sie alle Netzwerkschnittstellen auf, um den Namen Ihrer VPN-Schnittstelle zu ermitteln: Get-NetConnectionProfile

Schritt 2: Stellen Sie die VPN-Schnittstelle auf „Privates Netzwerkprofil” ein (ersetzen Sie peer-1 durch den tatsächlichen Namen Ihrer VPN-Schnittstelle aus Schritt 1): Set-NetConnectionProfile -InterfaceAlias "peer-1" -NetworkCategory Private

Remotedesktop über die Registry aktivieren

Diese Registry-Änderungen stellen sicher, dass Remote Desktop auf Systemebene aktiviert ist, was auch dann erforderlich ist, wenn es zuvor über die Windows-Einstellungen deaktiviert wurde.

Überprüfen Sie den aktuellen Remote Desktop-Status (1 = deaktiviert, 0 = aktiviert): Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections

Aktivieren Sie Remote Desktop, indem Sie den Registry-Wert auf 0 setzen: Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0

Starten Sie den Remotedesktopdienst neu, um alle Änderungen zu übernehmen: Start-Service -Name TermService

Überprüfen Sie, ob der Remotedesktopdienst ausgeführt wird: Get-Service -Name TermService

Nach dem Anwenden dieser Einstellungen akzeptiert Ihr Windows-Gerät nur Remote Desktop-Verbindungen von Geräten, die über das VPN-Subnetz verbunden sind, während alle anderen Verbindungsversuche von der Firewall blockiert werden.

VPN-Verbindung testen

Sie können Ihre VPN-Verbindung mit den Befehlen „ping“ und „traceroute“ von Ihrem Client-Gerät aus testen:

  • Testen Sie die Verbindung zum VPN-Gateway (ersetzen Sie 10.11.12.1 durch Ihre tatsächliche Gateway-IP) oder einem anderen verbundenen Gerät: ping 10.11.12.1

  • Überprüfen Sie den Routing-Pfad über das VPN.

    Windows: tracert 10.11.12.1

    Linux/macOS: traceroute 10.11.12.1

    Erwartetes Ergebnis: Die Ablaufverfolgung sollte einen direkten Pfad durch Ihre WireGuard-Schnittstelle anzeigen.

  • Zeigt aktive WireGuard-Schnittstellen und den Peer-Handshake-Status an. wg show

Info
Denken Sie daran, die Collectu Core-Ports zu Ihrer eingehenden Firewall hinzuzufügen, wenn Sie von einem anderen Gerät aus auf den Collectu Core zugreifen möchten.
Zurück
Templating
Weiter
Introduction