Welches VPN ?

Hallo zusammen

Nach 3 Wochen Urlaub auf Kroatischen Inseln hab ich mir nun vorgenommen meine IT mal wider auf Vordermann zu bringen.
Ganz oben auf der Luste steht endlich mal die permanente Einrichtung eines VPN.

Aber welches nehmen ??
Mein Modem/Router kann mal von sich aus gar nix. Also bleibt nur Portforwarding und auf einem Gerät im Lan installieren.

1.) PPTP am WIN7 IPS Server.
Frage: spielt die angebliche Unsicherheit im Heimbereich eine Rolle ? Aktiv verbunden werd ich eh nur selten sein. 99.9% der Zeit ist das Teil Idle.

2.) OpenVPN am Raspi. Scheint sicher zu sein, aber auch aufwändig zu konfigurieren. Zusäzlich braucht es auf den Clients die VPN Software.
Hmm, gibt wohl gute Konfigurationsanleitungen im Netz, aber lohnt der Aufwand wirklich ?

3.) Gibts sonst noch was für den durchschnittlich begabten Hobby Admin ?

Clients wären Android und Win7 Rechner.

Welche „legale“ Möglichkeit gibt es denn vom Firmen-LAN ( nur Port 80, 8080 sind offen) in mein VPN zu kommen.
Ich hatte das schon mal folgendermaßen eingerichtet: Handy per GSM ins VPN, Zusätzlich ein eigenes WLAN am Handy aufbauen und den Firemrechner dann da reinhängen. Hat funktioniert, aber komfortabel ist das nicht. Geht das irgendwie besser ?

x.) was haltet ihr von den auf den NAS schon vorkonfigurierten VPN ? evtl. würd ich auch meinen WIN7 Server gegen ein NAS eintauschen.

Hat jemand von euch Netzwerkprofis einen Tip ?

thx, vom braungebrannten
bb

Hast du einen virtualisierer (Hyper-V, ESXI)?

Wenn ja, dann schau dir mal die Sophos UTM Home Edition an. Die kann so ziemlich alles:

[ul]
[li]10 x Virenschutz dabei (auch für Server)[/li][li]Webproxy mit Virenschutz[/li][li]Emailfilter mit Viren- und Spamschutz[/li][li]HTML5 VPN Portal[/li][li]Logging und Reporting[/li][li]Intrusion detection[/li][li]Botnet detection[/li][li]VPN (Mobilgeräte z.b. IOs einfach per Click, SSL, IPSec, Lan, Client usw.)[/li][/ul]

Mehr infos hier: http://www.leibling.de/technikblog/energiesparende-firewall-mit-gigantischem-funktionsumfang/

P.s.: Die kleine Büchse gebe ich auch gerade ab für 150€ - dann wärst du autark abgesichert.

Bei mir läuft die nun auf dem ESXI virtuell mit :).

Wenn es einfach sein soll, würde ich einen DD-WRT fähigen Router empfehlen.
Da gibt es sehr viele Anleitungen im Netz.
Zudem kannst wählen ob Du PPTP oder Openvpn verwenden möchtest,
es würde auch beides parallel gehen.

Ich würde an dem vorhandenen Router/Modem ansetzen und das gegen:

  • eine Fritzbox oder die bereits genannte Möglichkeit (DD-WRT fähigen Router) austauschen…

  • Ich würde mir die Arbeit mit Portforwarding usw… sparen. Ausserdem brauchen die kleinen Router einfach am wenigsten Strom… die laufen ja 7x24…

Danke euch erstmal

@Peter: danke, aber erscheint ir etwas oversized, glaube nicht das ich das teil berherrsche

Die Idee den Raspy das VPN machen zu lassen war aus Stromverbrauchsgünden. Konfiguration schreckt mich halt ab.
Alternativ hätte ich noch einen Linksys WRT54 rumliegen. Den könnte ich nehmen, wenn ich dessne WLAn noch als zusätzlichen Accese Point konfigurieren könnte hätt ich sogar Doppelnutzen. (das Telekommodem ist nämlich etwas ungünstig positioniert)

Das Modem/Router austauschen möchte ich eigentlich nicht. Kostet ersten gleich mal 150-200€ und Support von der Telekom gibts dann auch keinen mehr. zzt. läuft die 30Gb VDSL Leitung nämlich ausgezeichnet mit deren eigenem Modem. Ist so ein dämliches Pirelli AV4202.

Kann mir jemand noch etwas zum angeblichen Sicherheitsproblem von PPTP sagen ? Ist das fürn Privatanwender überhaupt relevant ? Wie gesagt, eien VPN Verbindung wird eh nur eher selten aktiv sein.

danke
bb

Von 1&1 gibt es eine avm 7362 fritzbox gebraucht bei amazon immer wieder für 60 - 90€. Neu schon ab 119€. Vdsl geeignet + voip Telefonie.

Ich hab sie selbst im Einsatz… aber „nur“ mit adsl 16000.

Und ich würde lieber auf den „rudimentären“ support von der tcom verzichten…als ein fernwartbares gerät zu haben… und mehr als ein/aus machen die im Zweifel auch nicht…

Letztlich nimmt dir niemand deine Entscheidung ab… es hört sich aber so an, als ob es möglichst einfach sein soll… und dann kommt man an einer fritzbox nicht vorbei… ich denke das das Flashen deines ddwrt routers zu viel Aufwand ist + Einrichtung des openvpns auf der box… wie gesagt in der Zeit habe ich dir bereits mehrere vpns auf der fritzbox erstellt :wink:

Wenn du eine Windowsrechner mit Win 7/8 als Pro oder Enterprise laufen hast und deine Hardware virtualisierung unterstützt, dann kannst du einfach Hyper-V nachrüsten und da dei Firewall virtuell nachinstallieren, dann hast du keine Anschaffungs- und Stromkosten ;).

Schau dir mal die GUI an der Firewall, der Asisstent bei der Ersteinrichtung richtet fast alles ein, danach ist auch relativ einfach.

Helf dir gerne dabei ;).

Also PPTP würde ich schon aus Gründen der Sicherheit nicht in Erwägung ziehen. Das Protokoll muss als gebrochen betrachtet werden - siehe Wikipedia.

OpenVPN-Server läuft aber auch problemlos unter Windows, den Extra RasPi brauchst Du gar nicht. Ich habe es auch auf meinem IPS-Server laufen. Es ist sicher (durch Zertifikate), es muss nur ein Port in Router freigegeben werden, es ist schnell und stabil, läuft auch mit iOS und Android …

Wenn du mal bei Google nach „openvpn windows server anleitung“ suchst findest Du eine Anleitung von PCWelt, die ist ein guter Startpunkt.

Einfachste Lösung: Softether VPN!!! Funktioniert super, hat auch IKE Unterstützung. Damit kannst du dich durch fast alles tunneln, es klappt super, kaum konfigurationsaufwand. Automatisierte OpenVPN Config, für beispielsweise einen Android/iOS Client, bzw. klappt es auch mit den nativen Clients. Kein MTU Gefummel. Eigene Zertis, wenn man es möchte. Multidistribution usw…

Wobei ich sagen muss, dass ich auch Sophos als Firewall auf meinem ESXi 5.5 Server im Rechenzentrum nutze und sehr zufrieden bin… die VPN Features wiederum gefallen mir aber nicht sehr gut. Da ich sehr gerne mit Layer2 damit sich mein Rootserver bei mir auch heimisch fühlt…

Irgendwie gefällt mir die Idee, den Ips-Rechner als VPN Server zu verwenden. Meine AirPort Extreme hat kein VPN und der IPS Rechner ist da, und nicht ausgelastet.
PPTP ist mit einigem Aufwand knackbar, aber den wird wohl keiner betreiben, um meine IPS Zugriffe oder Videostreaming aufs IPhone mitzulauschen.
Falls jemand Erfahrung mit VPN auf dem IPS Rechner hat, würde auch mich das interessieren.
Mit Netzwerkkonfigurationsbeispielen aus dem Internet möchte ich nicht am IPS Rechner rumspielen, da ich nicht so der große Netzwerker bin.
Wäre schön, wenn hier jemand seine Erfahrungen posten könnte.

Gruß NBA

Man weiß ja nie…? Hier ein Zitat aus der Wikipedia:

2012 präsentierte Verschlüsselungsexperte Moxie Marlinspike ein Webangebot, das beliebige VPN- und WLAN-Verbindungen 
innerhalb eines Tages knacken können soll. Die Zeitschrift c't konnte das Verfahren erfolgreich anwenden und sprach 
deshalb vom "Todesstoß für PPTP“.

Und warum willst Du unbedingt auf ein gebrochenes Protokoll setzen, dass auch sonst nur Schwierigkeiten (Firewalls) macht? Mit OpenVPN bekommst Du eine sehr gut funktionierende Open Source Lösung, die mit nahezu allen erdenklichen Endgeräten prima funktioniert. Schau Dir mal meinen Beitrag #8 aus diesem Thread an, da ist ein „Link“ zu einer Anleitung drin.

Du kannst das OpenVPN ja auch zum testen auf deinem Laptop / Desktop installieren und erst wenn alles funktioniert die Config auf den IPS-Server kopieren.

Bei konkreten Fragen versuche ich natürlich gerne zu helfen.

PPTP… Ja, ich habe den Artikel gelesen, wo man 200.-USD bezahlen musste und eine Teillösung bekommen hat und mit weiterem Netzwerkwissen den Code knacken konnte…

Warum also PPTP, mein IPhone kann es standardmäßig!

Ich wäge halt ab, so richtig geheime Sachen mache ich nicht und ich kann mir nicht vorstellen, dass jemand Aufwand betreibt, um eine IPS Aktivitäten zu hacken.

Die Anleitungen im Internet zu den unterschiedlichen VPN Verfahren sind für mein Niveau schon kompliziert und Certifikate aufs IPhone bringen wird bestimmt 3xschiefgehen.

Meine Anforderungen sind:
a) unterwegs mein Netzwerk Zuhause nutzen
b) in freiem WLAN oder Mobilfunk keine Klarschrift Passwörter und Mailadressen verbreiten.

Gruß NBA

Servus NBA & All

hier ein kleines Update:
Ich habs mal mit dem oben empfohlenen Softether VPN probiert. Das hat soweit auf Anhieb funktioniert und die Konfiguration war recht einfach. Zumindest mal sehr viel komfortabler als die OPENVPN versuche am, RaspPi. Hab das wohl ach hinbeckommen, aber nur durch dumme zeilenweises Abgetippe irgendwelcher Internetanleitungen.-

Da ist mir das Softether Dingens irgendwie schon lieber. Als OpenSource-Uni Projekt dürfte es acuh halbwegs sauber sein.

Leider kommt auch das Softether nicht durch die Firmen Firewall :frowning:

gruß
bb

Hallo,

ich habe den OpenSwan VPN Server bei mir am RaspberryPI am laufen.

In dem Video oben gibt es eine nette Schritt für Schritt Anleitung wie alles zu konfigurieren ist.
Am Router habe ich UDP 1701/500/4500 Ports an den Raspberry PI weitergeleitet

Beim Android Handy habe ich dann das VPN (L2TP/IPSec PSK mit IPSec Pre-Shared Key) mit Verwendung einer no-ip.org DDNS Adresse (die auch im Router konfiguriert ist) nur noch entsprechend eingestellt und die Verbindung mit dem eingetragen Benutzer/Passwort des hinterlegten VPN Servers klappt bei mir dann perfekt. Hatte noch nie Probleme damit.

LG

Hallo bbernhard,

… tja bei mir hat das wie erwartet nicht geklappt. Kann ich vielleicht einen Tipp bekommen, obwohl das sehr speziell ist?

  • die udp ports auf der airport sind offen
  • es ist ein WINXP SP3 Rechner
  • ich nutze L2TP und den dyndns Service von denen
  • Account und Passwort sind definiert
  • Shared Secret ist 8-stellig
  • iPhone5

Die Kommunikation wird abgelehnt und im log des Rechners steht:

The client denied to accept both the „PAP“ (Password Authentication Protocol, a clear-text password authentication protocol) and MS-CHAP v2 Protocol. Enable either PAP or MS-CHAP v2 on the client-side and retry.

Schön, das iPhone ist schonmal auf dem WINXP-Rechner!

Im Client = iPhone finde ich keine Einstellung für die Passwort-Protokolle.

Gruss NBA

zwischenfrage:

hast Du mal über eine FritzBox und das dabei direkt vorhandene IPSec VPN nachgedacht. Damit kann man Windows und Mac und iPhone wunderbar einfach per Klick ins VPN heben …

Ich habe mich bewusst für die Airport entschieden, u.a. Auch wegen der Time Capsule. Es werden immer mehr Apple Geräte …
Da ich bei Kabel Deutschland bin, hätte ich die 6340 mieten müssen.
Gruß NBA

Berechtige Frage - mir sträuben sich immer die Nackenhaare, wenn jemand einen VPN-Endpunkte hinter den Internetrouter installiert und dann dafür Löcher in die Firewall des Routers bohren muss.

Die FritzBox ist da für den Hausgebrauch eine optimale Lösung, VPN ist schnell eingerichtet und läuft gut mit iOS / Android Geräte zusammen oder auch vom Noteook.

Alternativ - und wenn man etwas Netzwerk-KnowHow mitbringt - Mikrotik baut geniale Router auch im unteren Preissegment, einen SoHo-Gerät mit WLan-AP, IPSec, 10 Netzwerkports ( 5x GBit + 5x FastEthernet ) gibt es für unter 100 Euro und der hat mehr Funktionen drin, als so mancher Router der grossen Hersteller im 4-stelligen Preissegment.
Nachteil, das sind keine Plug&Play Geräte, die müssen vollständig konfiguriert werden.

Hi zusammen,

kann den Mikrotik Kommentar nur bestätigen. Geniales Zeug.

Als RouterOS gibt es die Software der Geräte auch kostenfrei, läuft auch unter KVM bzw. VMware, allerdings nicht in der aktuellen Version 6.20 sondern nur die 6.19. Wie schon erwähnt aber wirklich nicht Plug&Play :slight_smile:

Grüße