RetroTunnel
Was ist RetroTunnel?
RetroTunnel ist ein VPN-System, das ich von Grund auf selbst entwickle.
Kein fertiges Produkt, kein Baukastensystem –
sondern eine durchdachte Architektur, die genau das tut, was ich brauche.
Ein einziger Server. Zwei Tunneltechnologien.
L2TP/IPsec für ältere Windows-Clients – bis hinunter zu Windows XP.
AmneziaWireGuard für moderne Geräte – Windows 10, 11, Linux, Mobilgeräte.
Beide Tunnel laufen über denselben Server,
mit derselben Benutzerverwaltung, denselben Regeln, demselben Schutz.
Egal ob das Gerät 20 Jahre alt ist oder brandneu –
es bekommt den gleichen Dienst.
RetroTunnel entsteht unter dem Dach von Retrowork.
Weil auch beim VPN gilt, was für meine Laptops gilt:
Alte Technik verdient denselben Respekt wie neue.
Warum dieses Projekt?
Die meisten VPN-Lösungen da draußen haben ein Problem:
Sie funktionieren nur für aktuelle Betriebssysteme.
WireGuard? Läuft nicht auf Windows XP.
OpenVPN? Umständlich, langsam, überladen.
Kommerzielle Anbieter? Kein Interesse an alter Hardware.
Ich wollte eine Lösung, die niemanden zurücklässt.
Ein System, das sich an die Geräte anpasst – nicht umgekehrt.
Und gleichzeitig so sicher ist, dass ich mich selbst darauf verlasse.
Kein Kompromiss bei der Sicherheit.
Kein Kompromiss bei der Kompatibilität.
Das war der Anfang von RetroTunnel.
Technik & Architektur
RetroTunnel ist kein zusammengeklebtes Script –
es ist ein vollständig dokumentiertes Systemkonzept.
Jede Entscheidung ist begründet, jede Regel hat einen Zweck.
SQL-First:
Alle Konfigurationen leben in einer zentralen MariaDB-Datenbank.
Keine Flat-Files, kein manuelles Synchronisieren, keine versteckten Zustände.
Die Datenbank ist die einzige Wahrheit – alles andere leitet sich davon ab.
Fail-Closed:
Die Firewall blockiert standardmäßig alles.
Kein Traffic passiert den Server ohne explizite Autorisierung.
Selbst beim Booten, bevor alle Dienste laufen, ist der Server dicht.
DNS-Schutz:
Jede DNS-Anfrage wird über AdGuard und Unbound geleitet.
DNS-Zwang per Firewall-Regel – kein Client kann am Filter vorbei.
Werbung, Tracking, Malware-Domains werden still gefiltert.
Authentifizierung:
FreeRADIUS übernimmt die Zugangskontrolle für L2TP/IPsec.
WireGuard-Peers werden über das interne Panel verwaltet.
Zwei Tunneltechnologien, eine einheitliche Benutzerverwaltung.
Webpanel:
Ein eigenes internes Panel zur Verwaltung aller Verbindungen.
Rollenbasiert – Owner, Admin, User – jede Aktion wird protokolliert.
Kein phpMyAdmin, keine manuelle Datenbankarbeit im Alltag.
Aktueller Stand
RetroTunnel wird Modul für Modul entwickelt.
Jedes Modul durchläuft ein Review mit Invarianten, Tests und Drittprüfungen.
Erst wenn ein Modul sauber ist, kommt das nächste.
Abgeschlossen:
• Datenbankarchitektur und SQL-Grundlagen
• Plattform-Basis (Betriebssystem, Dienste, Dateisystem)
• Identitäts- und Rollenmodell
• Authentifizierung und Zugangskontrolle (AAA)
• L2TP/IPsec Tunnel (komplett mit strongSwan und accel-ppp)
In Arbeit:
• WireGuard / AmneziaWireGuard Tunnel
• Firewall und DNS-Stack
• Session-Management
Geplant:
• Webpanel (intern)
• Externe Webseite mit Bestellprozess
• Blockpage mit intelligenter Freigabe
• IPv6 Visual Coding
Das Konzept ist kein fertiges Produkt – es wächst.
Aber jedes Modul, das fertig ist, steht auf einem soliden Fundament.
Open Source
Das gesamte Konzept von RetroTunnel ist öffentlich.
Nicht nur der Code – sondern die Architektur, die Entscheidungen,
die Begründungen, die Tests.
Wer verstehen will, warum etwas so gebaut ist und nicht anders –
der findet die Antwort im Repository.
Keine Blackbox. Keine versteckten Annahmen.
RetroTunnel lebt auf GitHub.
Jeder kann mitlesen, mitdenken, hinterfragen.