Nach 3 Wochen Urlaub auf Kroatischen Inseln hab ich mir nun vorgenommen meine IT mal wider auf Vordermann zu bringen.
Ganz oben auf der Luste steht endlich mal die permanente Einrichtung eines VPN.
Aber welches nehmen ??
Mein Modem/Router kann mal von sich aus gar nix. Also bleibt nur Portforwarding und auf einem Gerät im Lan installieren.
1.) PPTP am WIN7 IPS Server.
Frage: spielt die angebliche Unsicherheit im Heimbereich eine Rolle ? Aktiv verbunden werd ich eh nur selten sein. 99.9% der Zeit ist das Teil Idle.
2.) OpenVPN am Raspi. Scheint sicher zu sein, aber auch aufwändig zu konfigurieren. Zusäzlich braucht es auf den Clients die VPN Software.
Hmm, gibt wohl gute Konfigurationsanleitungen im Netz, aber lohnt der Aufwand wirklich ?
3.) Gibts sonst noch was für den durchschnittlich begabten Hobby Admin ?
Clients wären Android und Win7 Rechner.
Welche „legale“ Möglichkeit gibt es denn vom Firmen-LAN ( nur Port 80, 8080 sind offen) in mein VPN zu kommen.
Ich hatte das schon mal folgendermaßen eingerichtet: Handy per GSM ins VPN, Zusätzlich ein eigenes WLAN am Handy aufbauen und den Firemrechner dann da reinhängen. Hat funktioniert, aber komfortabel ist das nicht. Geht das irgendwie besser ?
x.) was haltet ihr von den auf den NAS schon vorkonfigurierten VPN ? evtl. würd ich auch meinen WIN7 Server gegen ein NAS eintauschen.
Wenn ja, dann schau dir mal die Sophos UTM Home Edition an. Die kann so ziemlich alles:
[ul]
[li]10 x Virenschutz dabei (auch für Server)[/li][li]Webproxy mit Virenschutz[/li][li]Emailfilter mit Viren- und Spamschutz[/li][li]HTML5 VPN Portal[/li][li]Logging und Reporting[/li][li]Intrusion detection[/li][li]Botnet detection[/li][li]VPN (Mobilgeräte z.b. IOs einfach per Click, SSL, IPSec, Lan, Client usw.)[/li][/ul]
Wenn es einfach sein soll, würde ich einen DD-WRT fähigen Router empfehlen.
Da gibt es sehr viele Anleitungen im Netz.
Zudem kannst wählen ob Du PPTP oder Openvpn verwenden möchtest,
es würde auch beides parallel gehen.
@Peter: danke, aber erscheint ir etwas oversized, glaube nicht das ich das teil berherrsche
Die Idee den Raspy das VPN machen zu lassen war aus Stromverbrauchsgünden. Konfiguration schreckt mich halt ab.
Alternativ hätte ich noch einen Linksys WRT54 rumliegen. Den könnte ich nehmen, wenn ich dessne WLAn noch als zusätzlichen Accese Point konfigurieren könnte hätt ich sogar Doppelnutzen. (das Telekommodem ist nämlich etwas ungünstig positioniert)
Das Modem/Router austauschen möchte ich eigentlich nicht. Kostet ersten gleich mal 150-200€ und Support von der Telekom gibts dann auch keinen mehr. zzt. läuft die 30Gb VDSL Leitung nämlich ausgezeichnet mit deren eigenem Modem. Ist so ein dämliches Pirelli AV4202.
Kann mir jemand noch etwas zum angeblichen Sicherheitsproblem von PPTP sagen ? Ist das fürn Privatanwender überhaupt relevant ? Wie gesagt, eien VPN Verbindung wird eh nur eher selten aktiv sein.
Von 1&1 gibt es eine avm 7362 fritzbox gebraucht bei amazon immer wieder für 60 - 90€. Neu schon ab 119€. Vdsl geeignet + voip Telefonie.
Ich hab sie selbst im Einsatz… aber „nur“ mit adsl 16000.
Und ich würde lieber auf den „rudimentären“ support von der tcom verzichten…als ein fernwartbares gerät zu haben… und mehr als ein/aus machen die im Zweifel auch nicht…
Letztlich nimmt dir niemand deine Entscheidung ab… es hört sich aber so an, als ob es möglichst einfach sein soll… und dann kommt man an einer fritzbox nicht vorbei… ich denke das das Flashen deines ddwrt routers zu viel Aufwand ist + Einrichtung des openvpns auf der box… wie gesagt in der Zeit habe ich dir bereits mehrere vpns auf der fritzbox erstellt
Wenn du eine Windowsrechner mit Win 7/8 als Pro oder Enterprise laufen hast und deine Hardware virtualisierung unterstützt, dann kannst du einfach Hyper-V nachrüsten und da dei Firewall virtuell nachinstallieren, dann hast du keine Anschaffungs- und Stromkosten ;).
Schau dir mal die GUI an der Firewall, der Asisstent bei der Ersteinrichtung richtet fast alles ein, danach ist auch relativ einfach.
Also PPTP würde ich schon aus Gründen der Sicherheit nicht in Erwägung ziehen. Das Protokoll muss als gebrochen betrachtet werden - siehe Wikipedia.
OpenVPN-Server läuft aber auch problemlos unter Windows, den Extra RasPi brauchst Du gar nicht. Ich habe es auch auf meinem IPS-Server laufen. Es ist sicher (durch Zertifikate), es muss nur ein Port in Router freigegeben werden, es ist schnell und stabil, läuft auch mit iOS und Android …
Wenn du mal bei Google nach „openvpn windows server anleitung“ suchst findest Du eine Anleitung von PCWelt, die ist ein guter Startpunkt.
Einfachste Lösung: Softether VPN!!! Funktioniert super, hat auch IKE Unterstützung. Damit kannst du dich durch fast alles tunneln, es klappt super, kaum konfigurationsaufwand. Automatisierte OpenVPN Config, für beispielsweise einen Android/iOS Client, bzw. klappt es auch mit den nativen Clients. Kein MTU Gefummel. Eigene Zertis, wenn man es möchte. Multidistribution usw…
Wobei ich sagen muss, dass ich auch Sophos als Firewall auf meinem ESXi 5.5 Server im Rechenzentrum nutze und sehr zufrieden bin… die VPN Features wiederum gefallen mir aber nicht sehr gut. Da ich sehr gerne mit Layer2 damit sich mein Rootserver bei mir auch heimisch fühlt…
Irgendwie gefällt mir die Idee, den Ips-Rechner als VPN Server zu verwenden. Meine AirPort Extreme hat kein VPN und der IPS Rechner ist da, und nicht ausgelastet.
PPTP ist mit einigem Aufwand knackbar, aber den wird wohl keiner betreiben, um meine IPS Zugriffe oder Videostreaming aufs IPhone mitzulauschen.
Falls jemand Erfahrung mit VPN auf dem IPS Rechner hat, würde auch mich das interessieren.
Mit Netzwerkkonfigurationsbeispielen aus dem Internet möchte ich nicht am IPS Rechner rumspielen, da ich nicht so der große Netzwerker bin.
Wäre schön, wenn hier jemand seine Erfahrungen posten könnte.
Man weiß ja nie…? Hier ein Zitat aus der Wikipedia:
2012 präsentierte Verschlüsselungsexperte Moxie Marlinspike ein Webangebot, das beliebige VPN- und WLAN-Verbindungen
innerhalb eines Tages knacken können soll. Die Zeitschrift c't konnte das Verfahren erfolgreich anwenden und sprach
deshalb vom "Todesstoß für PPTP“.
Und warum willst Du unbedingt auf ein gebrochenes Protokoll setzen, dass auch sonst nur Schwierigkeiten (Firewalls) macht? Mit OpenVPN bekommst Du eine sehr gut funktionierende Open Source Lösung, die mit nahezu allen erdenklichen Endgeräten prima funktioniert. Schau Dir mal meinen Beitrag #8 aus diesem Thread an, da ist ein „Link“ zu einer Anleitung drin.
Du kannst das OpenVPN ja auch zum testen auf deinem Laptop / Desktop installieren und erst wenn alles funktioniert die Config auf den IPS-Server kopieren.
Bei konkreten Fragen versuche ich natürlich gerne zu helfen.
PPTP… Ja, ich habe den Artikel gelesen, wo man 200.-USD bezahlen musste und eine Teillösung bekommen hat und mit weiterem Netzwerkwissen den Code knacken konnte…
Warum also PPTP, mein IPhone kann es standardmäßig!
Ich wäge halt ab, so richtig geheime Sachen mache ich nicht und ich kann mir nicht vorstellen, dass jemand Aufwand betreibt, um eine IPS Aktivitäten zu hacken.
Die Anleitungen im Internet zu den unterschiedlichen VPN Verfahren sind für mein Niveau schon kompliziert und Certifikate aufs IPhone bringen wird bestimmt 3xschiefgehen.
Meine Anforderungen sind:
a) unterwegs mein Netzwerk Zuhause nutzen
b) in freiem WLAN oder Mobilfunk keine Klarschrift Passwörter und Mailadressen verbreiten.
hier ein kleines Update:
Ich habs mal mit dem oben empfohlenen Softether VPN probiert. Das hat soweit auf Anhieb funktioniert und die Konfiguration war recht einfach. Zumindest mal sehr viel komfortabler als die OPENVPN versuche am, RaspPi. Hab das wohl ach hinbeckommen, aber nur durch dumme zeilenweises Abgetippe irgendwelcher Internetanleitungen.-
Da ist mir das Softether Dingens irgendwie schon lieber. Als OpenSource-Uni Projekt dürfte es acuh halbwegs sauber sein.
Leider kommt auch das Softether nicht durch die Firmen Firewall
ich habe den OpenSwan VPN Server bei mir am RaspberryPI am laufen.
In dem Video oben gibt es eine nette Schritt für Schritt Anleitung wie alles zu konfigurieren ist.
Am Router habe ich UDP 1701/500/4500 Ports an den Raspberry PI weitergeleitet
Beim Android Handy habe ich dann das VPN (L2TP/IPSec PSK mit IPSec Pre-Shared Key) mit Verwendung einer no-ip.org DDNS Adresse (die auch im Router konfiguriert ist) nur noch entsprechend eingestellt und die Verbindung mit dem eingetragen Benutzer/Passwort des hinterlegten VPN Servers klappt bei mir dann perfekt. Hatte noch nie Probleme damit.
… tja bei mir hat das wie erwartet nicht geklappt. Kann ich vielleicht einen Tipp bekommen, obwohl das sehr speziell ist?
die udp ports auf der airport sind offen
es ist ein WINXP SP3 Rechner
ich nutze L2TP und den dyndns Service von denen
Account und Passwort sind definiert
Shared Secret ist 8-stellig
iPhone5
Die Kommunikation wird abgelehnt und im log des Rechners steht:
The client denied to accept both the „PAP“ (Password Authentication Protocol, a clear-text password authentication protocol) and MS-CHAP v2 Protocol. Enable either PAP or MS-CHAP v2 on the client-side and retry.
Schön, das iPhone ist schonmal auf dem WINXP-Rechner!
Im Client = iPhone finde ich keine Einstellung für die Passwort-Protokolle.
hast Du mal über eine FritzBox und das dabei direkt vorhandene IPSec VPN nachgedacht. Damit kann man Windows und Mac und iPhone wunderbar einfach per Klick ins VPN heben …
Ich habe mich bewusst für die Airport entschieden, u.a. Auch wegen der Time Capsule. Es werden immer mehr Apple Geräte …
Da ich bei Kabel Deutschland bin, hätte ich die 6340 mieten müssen.
Gruß NBA
Berechtige Frage - mir sträuben sich immer die Nackenhaare, wenn jemand einen VPN-Endpunkte hinter den Internetrouter installiert und dann dafür Löcher in die Firewall des Routers bohren muss.
Die FritzBox ist da für den Hausgebrauch eine optimale Lösung, VPN ist schnell eingerichtet und läuft gut mit iOS / Android Geräte zusammen oder auch vom Noteook.
Alternativ - und wenn man etwas Netzwerk-KnowHow mitbringt - Mikrotik baut geniale Router auch im unteren Preissegment, einen SoHo-Gerät mit WLan-AP, IPSec, 10 Netzwerkports ( 5x GBit + 5x FastEthernet ) gibt es für unter 100 Euro und der hat mehr Funktionen drin, als so mancher Router der grossen Hersteller im 4-stelligen Preissegment.
Nachteil, das sind keine Plug&Play Geräte, die müssen vollständig konfiguriert werden.
kann den Mikrotik Kommentar nur bestätigen. Geniales Zeug.
Als RouterOS gibt es die Software der Geräte auch kostenfrei, läuft auch unter KVM bzw. VMware, allerdings nicht in der aktuellen Version 6.20 sondern nur die 6.19. Wie schon erwähnt aber wirklich nicht Plug&Play