Sicherer Zugriff auf unsichere Dienste: So nutzt man Stunnel

Voraussetzung für die Nutzung von Stunnel ist, wie auch beim einfachen Portforwarding, dass man entweder über eine feste öffentliche IP-Adresse verfügt oder einen dynamischen DNS-Service in Anspruch nimmt. Fast alle DSL-Router können dynamische DNS-Dienste wie Dyndns.org, dtdns.com oder 2myip.com nutzen.

Unter Windows wird Stunnel mit einem selbsterklärenden Installer geliefert und kann per Kommandozeile oder Startmenü, siehe Bild 2, gesteuert werden. Normalerweise befindet sich Stunnel im Verzeichnis „C:Program Filesstunnel“. Von dort lässt sich Stunnel mit dem Befehl stunnel -install als Windows-Dienst installieren, siehe Bild 3.

Am besten wählt man anschließend unter „Start – Systemsteuerung – Verwaltung – Dienste – stunnel“ die gewünschten Einstellungen. Starten sollte man den Dienst später mit dem Befehl Net Start Stunnel, da Stunnel jedes Mal neu gestartet werden muss, wenn man die Konfigurationsdatei stunnel.conf ändert.

Wie für jede SSL/TLS-Verbindung ist ein Zertifikat erforderlich. Anstelle eines offiziellen Zertifikat kann man das mitgelieferte stunnel.pem verwenden. Das bedeutet allerdings, dass sich ein Browser zunächst über ein ungültiges Zertifikat beschweren wird. Das ist das gleiche Verhalten, das vor allem bei kleineren Websites auftaucht, die keine offiziellen Zertifikate nutzen.

Die Konfigurationsdatei stunnel.conf ist einfach zu erstellen. In einem Beispiel hat das Heimnetz die Netzwerkadresse 192.168.44.0/24 (Netmask 255.255.255.0). Dort steht eine Dreambox mit der festen IP-Adresse 192.168.44.4, ein VoIP-Adapter mit der IP 192.168.44.6 und ein Windows-Home-Server mit der IP 192.168.44.1, auf dem Stunnel installiert wird.

Dann müsste die stunnel.conf etwa wie folgt aussehen:

Wenn man mit Net Start Stunnel den Server startet, nimmt der Windows-Rechner sichere HTTPS-Verbindungen auf den Ports 444 und 446 entgegen und leitet sie als normale HTTP-Verbindungen an die Endgeräte weiter.

Wichtig ist, sowohl für die Endgeräte als auch für den Stunnel-PC jeweils feste IP-Adressen zu verwenden. Im obigen Beispiel vergibt der DHCP-Server nur Adressen zwischen 192.168.44.128 bis 192.168.44.253. Somit können die Adressen bis 192.168.44.127 statisch eingetragen werden.

Man kann jetzt die Stunnel-Installation von intern testen. Von einem weiteren Rechner gibt man dazu im Browser https://192.168.44.1:446 ein, um auf die Dreambox zu kommen. Zuerst kommt der Zertifikatfehler wie in Bild 5 gezeigt. Nach dem Hinzufügen einer Ausnahme erscheint das Webinterface der Dreambox mit HTTPS, obwohl sie dieses Protokoll nicht beherrscht, siehe Bild 6.

Wenn alles funktioniert, muss noch das Port-Forwarding des DSL-Routers angepasst werden. Dazu leitet man den TCP-Port 446 an Port 446 des Stunnel-Rechners 192.168.44.1, um die Dreambox nutzen zu können. Analog verfährt man mit Port 444 für den VoIP-Adapter. Das Beispiel von Bild 7 zeigt, wie man das bei einem Lancom-Routern macht. Bild 8 zeigt, dass es jetzt aus dem Internet möglich ist, sicher mit HTTPS auf die Dreambox zuzugreifen.

Nimmt man einen Linux-Rechner, so sind Installation und Konfiguration ähnlich: einfach mit dem Paketverwaltungssystem Stunnel installieren. Die Konfigurationsdatei stunnel.conf, die identisch zur Windows-Version ist, und das Zertifikat stunnel.pem befinden sich in /etc/stunnel. Wer selbst kompiliert, findet diese Dateien in /usr/local/etc/stunnel.