Home-Office (deutsche IP) im Ausland mit privatem VPN
|Remote arbeiten wo andere Urlaub machen? In Zeiten flexibler Arbeitszeitmodelle und Tätigkeiten, die vom Homeoffice aus erledigt werden können, ist dieser Gedanke längst nicht mehr so abwegig wie noch vor einigen Jahren. Doch was ist zu beachten, wenn man für einen deutschen Arbeitgeber remote im Ausland arbeiten möchte und was ist technisch zu beachten?
Achtung: Die rechtliche Seite
Aus arbeitsrechtlicher Sicht ist in jedem Fall zu prüfen, ob bzw. unter welchen Voraussetzungen der Arbeitgeber das Arbeiten aus dem Ausland erlaubt. Bitte beachten Sie, dass eine bewusste Umgehung oder Missachtung der Unternehmensrichtlinien Konsequenzen nach sich ziehen kann und schwerwiegende Folgen wie z.B. eine Kündigung oder sogar rechtliche Schritte nach sich ziehen kann.
Technische Ausgangslage – vom Home-Office ins Firmennetzwerk
Die technischen Voraussetzungen lassen sich leider nicht pauschal zusammenfassen, da es heutzutage viele verschiedene Möglichkeiten gibt, eine Verbindung zu einem Firmennetzwerk herzustellen. Die gängigste und derzeit am weitesten verbreitete Variante ist jedoch eine VPN-Verbindung zwischen dem Firmenendgerät (z.B. Laptop / Smartphone) und dem Firmen-VPN-Server über das private Heimnetzwerk und das Internet.
Um es noch einmal ganz einfach zusammenzufassen, benötigt man für digitales Arbeiten von zu Hause aus also eine (möglichst stabile) Internetverbindung und einen Router, an den verschiedene Geräte angeschlossen werden können. Zum Beispiel private Endgeräte oder eben der Firmenlaptop/Smartphone. Dies geschieht in der Regel über eine WLAN- oder LAN(Kabel)-Verbindung.
Zur sicheren Kommunikation wird ein VPN-Tunnel zwischen dem Endgerät (Firmenlaptop) und dem Unternehmen aufgebaut, wie in Abbildung 1 dargestellt. Der Laptop verfügt dazu meist über eine spezielle Software oder Konfiguration, um als VPN-Client arbeiten zu können. Auf der anderen Seite in der Firma dient ein sogenannter VPN-Server als Ansprechpartner für alle Clients, die sich mit dem Firmennetzwerk verbinden möchten.
Vereinfacht kann man sich diesen VPN-Tunnel wie ein sehr langes Netzwerkkabel vom Firmenserver nach Hause zum Firmenlaptop vorstellen. Das Kabel besteht hier jedoch aus einem Teil Internet und einem Teil WLAN oder LAN-Verbindung zu Hause (= siehe Abbildung 1 orange Blase Internet + blaue Blase Heimnetzwerk). Dieser VPN-Tunnel hat neben der reinen Verbindungsfunktion auch eine Sicherheitsfunktion, meist wird der Datenverkehr des VPN-Tunnels verschlüsselt und mit einem oder sogar mehreren Passwörtern/Sicherheitsmerkmalen geschützt. Bei korrekter Verwendung kann kein anderer Teilnehmer, weder im Heimnetz noch im Internet, diesen Verkehr im Klartext mitlesen.
Bevor die Verbindung jedoch endgültig hergestellt werden kann, überprüft der VPN-Server, ähnlich wie ein Türsteher, zahlreiche Eigenschaften des VPN-Clients. Einige werden nur protokolliert, andere dienen als harte „Prüfung“ der Verbindung. Client und Server können vor dem eigentlichen Verbindungsaufbau beliebig viele Informationen austauschen, dies ist je nach Software/Konfiguration sehr unterschiedlich, sehr häufig werden aber folgende Werte ausgetauscht
- Welcher Laptop (Firmenkennung) möchte eine Verbindung aufbauen
- Status des Rechners (z.B. ist das Antivirenprogramm aktiv und auf dem neuesten Stand)
- Uhrzeit/ggf. lokale Zeit
- Name der WLAN-Verbindung des Clients
- IP-Adresse der Internetverbindung des Clients (lässt oft Rückschlüsse auf den aktuellen Standort/Land des Nutzers zu)
- diverse weitere Merkmale…
Der VPN-Server prüft also (richtigerweise), ob mit der Verbindung „alles in Ordnung ist“ und ob man den Teilnehmer „hereinlassen darf“.
Es kann also sein, dass das Unternehmen bzw. der VPN-Server so konfiguriert ist, dass er keine Verbindungen aus Spanien zulässt. Dies wird sehr oft anhand der IP-Adresse erkannt und ein Verbindungsaufbau entsprechend verweigert.
Deutsche IP-Adresse bzw. deutschen Standort im Ausland simulieren
Hinweis: Wie oben bereits erwähnt, hat die bewusste Umgehung einer Sperre oft schwerwiegende arbeitsrechtliche Konsequenzen. Das Vorhaben sollte daher in jedem Fall mit dem Arbeitgeber abgesprochen werden bzw. den jeweils geltenden Richtlinien entsprechen.
Um im Ausland „wie aus dem Home-Office“ arbeiten zu können, sollte man sich daher am besten mit dem heimischen Büro verbinden. Dazu benötigt man neben einem Internetanschluss im Ausland und einem Internetanschluss zu Hause einen eigenen VPN-Router sowie einen eigenen VPN-Server (der oft auch der eigene Router zu Hause sein kann, z.B. eine Fritzbox). Dieser Aufbau und die Vorgehensweise sind in Abbildung 3 grob zusammengefasst:
Ähnlich wie oben beschrieben baut man also einen eigenen VPN-Tunnel zwischen dem VPN-Router (Server) in Deutschland und einem mobilen VPN-Router (Client) auf. Diesen „VPN-Tunnel-1“ kann man sich wiederum wie ein sehr langes Netzwerkkabel vorstellen, das den mobilen VPN-Router (Client) mit dem eigenen (Heim-)Netzwerk in Deutschland verbindet.
Nach erfolgreichem Verbindungsaufbau mit dem VPN-Router (Server) in Deutschland erhält der VPN-Router-Client eine deutsche IP und kann diese an weitere angeschlossene Endgeräte weitergeben. Wird nun ein Laptop über WLAN oder LAN mit dem VPN-Router (Client) verbunden, erhält dieser die deutsche Internet-IP des heimischen Anschlusses. Handelt es sich um einen Firmenlaptop, kann nun, wie in Abbildung 1 dargestellt, über einen zweiten VPN-Tunnel (VPN-Tunnel 2) eine direkte Verbindung zum Firmennetzwerk aufgebaut werden. Dieser zweite Tunnel verläuft teilweise über den VPN-Tunnel 1, der bereits die Verbindung zwischen Spanien und Deutschland überbrückt. Der VPN-Server des Firmennetzes sieht also in der Regel eine deutsche IP (und ggf. weitere Daten des deutschen Internetanschlusses) und lässt die Verbindung zu.
Um dieses Setup zu Hause zu testen und zu realisieren, benötigt man also einen VPN-Router-Server und einen VPN-Router-Client. Idealerweise kann der vorhandene Internet-Router als VPN-Server verwendet werden, einige moderne Router haben diese Funktion bereits integriert, z.B. Fritzboxen oder sogenannte OpenWRT-Router, die sich umfangreich konfigurieren lassen. Weitere Informationen finden Sie unter diesem Link:
Für den VPN-Router-Client eigenen sich die mobilen und handlichen OpenWRT-Reiserouter perfekt. Sie verfügen über umfangreiche Konfigurationsmöglichkeiten und genügend Leistung um einen stabilen VPN-Tunnel aufzubauen und sind zeitgleich durch ihre kleinen Maße perfekt für die Reisetasche geeignet. Folgende Modelle sind beispielsweise geeignet:
Modell | Amazon-Link: | Größe / Gewicht | 4G Modul integriert (Sim-Karte nutzbar) | OpenWRT vorinstalliert | RAM | Flash |
GL.iNet GL-MT300N-V2 (Mango) | Link* | 58 x 58 x 25 mm; 40 g | Nein (per USB Stick nachrüstbar) | Ja | 128 | 16 |
GL.iNet GL-AXT1800 (SlateAX) | Link* | 125 x 82 x 36 mm; 245 g | Nein (per USB Stick nachrüstbar) | Ja | 512 | 128 |
GL.iNet GL-E750 (MUDI) (inkl. PowerBank) | Link* | 145 x 77,5 x 23,5 mm / 285 g | Ja (4G) | Ja | 128 | 16 |
GL.iNet GL-X750 (Spitz) Version 2 | Link* | 115 x 74 x 22 mm / 86 g | Ja (4G) | Ja | 128 | 16 |