Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Wahl der richtigen VPN Lösung

    Deutsch
    6
    12
    8.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Monoecus
      last edited by

      Zuerst einmal kann man sagen, dass Du mit der pfSense auf jeden Fall eine sichere und verschlüsselte Verbindung ins Firmennetz aufbauen kannst. Die 4 benötigten Leitungen sind an sich überhaupt kein Problem. Es wird wohl dann zum Problem, wenn Du 4000 gleichzeitige VPNs haben willst.

      Welchen VPN Du wählst hängt wohl am ehesten von den Windows Benutzern ab. Ich bevorzuge selber OpenVPN mit PKI. Das läuft auf Mac und FreeBSD wunderbar, aber ich weiss nicht, ob und wie es auf Windows funktioniert. IPSec sollte jedoch bestimmt funktionieren.

      Ein eigentlich viel grösseres Problem ist, dass Du Dir ganz genau überlegen musst, wie Du die externen Besucher vom Rest des nicht benötigten Netzes sauber abtrennst. Grundsätzlich ist davon auszugehen, dass die externen Benutzer ihre PCs nicht sauber updaten und deshalb verseucht sind. Du solltest also ganz genau wissen, ob und welche Services (= Ports) Du wirklich für externe Benutzer zulassen willst.

      1 Reply Last reply Reply Quote 0
      • jahonixJ
        jahonix
        last edited by

        Hm, die Überlegung von Monoecus, die hosts der Home-Nutzer zwangsweise als 'dirty' anzunehmen, ist sicher gut und wohl leider auch richtig.
        Das schränkt aber auch die Verwendung der einzelnen VPN Lösungen mit pfSense ein, denn OpenVPN kann in der aktuellen Implementierung da zB nichts filtern. IPsec schon.

        Wenn Du also Ports filtern willst oder musst, dann führt derzeit wohl kein Weg um IPsec herum. Da es schon länger besteht, gibt es entsprechende Clients und Tutorials auch für eigentlich jedes gescheite Betriebssystem. Zu PPTP (oder L2PT) kann ich wegen mangelnder Erfahrung gar nichts beitragen.

        Ich selbst benutze OpenVPN mit meinem Laptop, aber der gilt sicher auch nicht als 'dirty'. Zumal er gerade lokal in der Domain angedockt ist.

        1 Reply Last reply Reply Quote 0
        • GruensFroeschliG
          GruensFroeschli
          last edited by

          @Monoecus:

          Welchen VPN Du wählst hängt wohl am ehesten von den Windows Benutzern ab. Ich bevorzuge selber OpenVPN mit PKI. Das läuft auf Mac und FreeBSD wunderbar, aber ich weiss nicht, ob und wie es auf Windows funktioniert. IPSec sollte jedoch bestimmt funktionieren.

          Ich benutz relativ häufig OpenVPN unter Windows.
          Im Grunde genommen ist es gleich wie unter OSX mit TunnelBlick.

          We do what we must, because we can.

          Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

          1 Reply Last reply Reply Quote 0
          • H
            heiko
            last edited by

            Hallo,

            Läuft mit PPTP und auch IPSEC hier sauber, regeltechnisch kannste damit beides verwalten, IPSEC ist größerer Aufwand, da die Mitarbeiter
            zuhause entweder auch ein pfsense haben müssen (dann völlig easy) und superstabil oder aber einen VPN Client auf dem Home-Maschine
            oder aber PPTP mit Windows. Wobei PPTP in der 1.2 regelmentierungen unterliegt.

            in 1.23 wird auch NAT Traversal unterstützt, dann sollten auch alle Clients mit allen Konfigurationen sauber laufen.

            Einfach einmal probieren

            • http://www.shrew.net/
            • Greenbow
            • http://www.ncp-e.com/de/loesungen/vpn-produkte/secure-entry-client.html

            NCP läuft auf jeden Fall, auch mit der 1.2 ordentlich…..., aber nicht frei, shrew.net ist frei und wird sicherlich in Zukunft auch super mit der 2.0 zusammenarbeiten.........

            Gruß
            Heiko

            P.S.: Wer die Qual der Wahl hat......

            1 Reply Last reply Reply Quote 0
            • 3
              3bit
              last edited by

              Hallo,

              danke für die Antworten.

              Also wenn ich das jetzt richtig verstanden habe fällt die OpenVPN funktion komplett weg da man sonst nichts filtern könnte?
              Somit gäbe es keinen Schutz für das Netzwerk wenn die Externenmitarbeiter versuchte Rechner haben? Das wäre weniger toll…

              Somit könnte man nur noch PPTP und IPSec filtern. Da IPSec nur mit größerem Aufwand umzusetzen ist (wenn meine Quellen alle stimmen),
              würde es dann auf PPTP hinauslaufen.

              Ist dies zu empfehlen? Oder sollte man trotz des Mehraufwands eher IPsec nehmen?

              Vielen Dank schon mal!

              Gruß Sven

              1 Reply Last reply Reply Quote 0
              • M
                Monoecus
                last edited by

                Falls Du Dir die neueste Version 2.0 von pfSense installieren kannst/willst, dann kannst Du auch OpenVPN nehmen. Das sollte in der neuen Version filterbar sein.

                1 Reply Last reply Reply Quote 0
                • 3
                  3bit
                  last edited by

                  Hallo,

                  da bin ich nochmal.  ::)

                  Ich habe mir soeben nochmal die "Feature List" der aktuellen PFsense angeschaut und bin zu folgendem Ergebnis gekommen.

                  IPSec:
                  In der Momentanen Version uninteressant, da Mobile Clients hinter NAT nicht unterstützt werden…
                  -> NAT-T is not supported, which means mobile clients behind NAT are not supported.
                  Da die Mitarbeiter zuhause alle hinter einem Router sitzen der auch noch "natted", dürfte es da Probleme geben. Wenn ich alles richtig verstanden habe.  ;D

                  OpenVPN:
                  Sollte mit NAT klar kommen, läuft mit vielen Betriebssystemen, recht einfach zu konfigurieren, einziges Manko: Ich kann in der aktuellen Version nicht filtern sowie unterstützt
                  nicht alle Features von OpenVPN. Diese beiden Punkte sollen aber ab Version 2.0 aus der Welt sein.

                  Kommen wir zu PPTP:
                  Hier scheint das Filtern zu funtionieren. Sollte man an dem Standort aber "nur" eine statische IP besitzen, gäbe es Probleme mit PPTP Verbindung die aus dem Lan über das Wan
                  Interface in die Weite Welt wollen...

                  Sollte ich etwas falsch verstanden haben, so wäre es nett wenn jemand mich darauf hinweisen könnte.
                  Meine Momentane Entscheidung würde somit auf OpenVPN fallen. Dort kann ich zwar nicht Filtern, aber dies soll ja ab Version 2.0 behoben sein. Die "einfache" Konfiguration der Clients und die vielen unterstützten Betriebssysteme sind für meine ein weiterer Pluspunkt.

                  Ein - zwei Fragen habe ich aber trotzdem noch.  :D

                  • Wäre später eine Update der Version 1.2.2 auf 2.0 ohne großen Aufwand möglich? Kann man bestimmt nie 100% sagen...
                  • Durch meine Recherche habe ich viel gutes darüber gelesen OpenVPN mit einer PKI zu nutzen. Seht Ihr das genauso? Oder sollte man bei den paar Usern lieber auf eine andere Verschlüsselung zurück greifen? Aufwand sollte nicht beachtet werden, da es ja nunmal um die Sicherheit geht.

                  Bis dann und nette Grüße!

                  Sven

                  1 Reply Last reply Reply Quote 0
                  • GruensFroeschliG
                    GruensFroeschli
                    last edited by

                    @3bit:

                    IPSec:
                    In der Momentanen Version uninteressant, da Mobile Clients hinter NAT nicht unterstützt werden…
                    -> NAT-T is not supported, which means mobile clients behind NAT are not supported.
                    Da die Mitarbeiter zuhause alle hinter einem Router sitzen der auch noch "natted", dürfte es da Probleme geben. Wenn ich alles richtig verstanden habe.  ;D

                    http://blog.pfsense.org/?p=377

                    IPsec connection reloading improvements - When making changes to a single IPsec connection, or adding an IPsec connection, it no longer reloads all your IPsec connections. Only the changed connections are reloaded. That wasn’t a big deal in most environments, but in some it means you can’t change anything in IPsec except during maintenance windows. This is being used in a critical production environment with 400 connections, and works well.

                    Dynamic site to site IPsec - because of the above change, it was trivial to add support for dynamic DNS hostnames in IPsec. While 1.2.x will not receive new features, this became an exception.

                    IPsec NAT-T support has also been added.

                    Die oben genannten Einschränkungen fallen mit 1.2.3 weg.
                    2.0 ist noch weeeeeit weg, während 1.2.3 schon quasi pre RC status hat und schon in vielen produktiven einrichtungen eingesetzt wird.

                    OpenVPN:
                    Sollte mit NAT klar kommen, läuft mit vielen Betriebssystemen, recht einfach zu konfigurieren, einziges Manko: Ich kann in der aktuellen Version nicht filtern sowie unterstützt
                    nicht alle Features von OpenVPN. Diese beiden Punkte sollen aber ab Version 2.0 aus der Welt sein.

                    Welche features werden nicht unterstützt?
                    Da die pfSense lediglich ein GUI zu OpenVPN ist, hast du sämtliche OpenVPN funktionalitäten, auch wenn sie nicht direkt zugänglich sind.
                    Da für die clients sowieso von hand eine config geschrieben werden muss, kann man auch für den server eine config schreiben.

                    Kommen wir zu PPTP:
                    Hier scheint das Filtern zu funtionieren. Sollte man an dem Standort aber "nur" eine statische IP besitzen, gäbe es Probleme mit PPTP Verbindung die aus dem Lan über das Wan
                    Interface in die Weite Welt wollen…

                    Das betrifft ausgehende Verbindungen (von hinter der pfSense) und nicht eingehende Verbindungen.
                    (Es sei denn, du hast mehrer User hinter der selben public IP im Internet welche gleichzeitig auf deinen Server zugreifen wollen. Das ist aber ein Problem clientseitig und nicht auf der Seite pfSense)

                    Sollte ich etwas falsch verstanden haben, so wäre es nett wenn jemand mich darauf hinweisen könnte.
                    Meine Momentane Entscheidung würde somit auf OpenVPN fallen. Dort kann ich zwar nicht Filtern, aber dies soll ja ab Version 2.0 behoben sein. Die "einfache" Konfiguration der Clients und die vielen unterstützten Betriebssysteme sind für meine ein weiterer Pluspunkt.

                    Ich persönlich finde OpenVPN momentan die beste VPN Lösung, jedoch nicht in jeder Umgebung sinnvoll.
                    Gerade wenn es mit "fertigen Geräten" anderer Herstellern zusammen funktionieren soll, ist IPSEC quasi der Standard.
                    Für den Enduser sind die IPSEC Lösungen auch meist weniger Umständlich.
                    "Man hat ein Programm mit einem Button auf dem "connect" steht und sonst nichts.

                    2.0 ist noch sehr weit weg. Ich würde mir noch keine Gedanken über das machen.

                    Ein - zwei Fragen habe ich aber trotzdem noch.  :D

                    • Wäre später eine Update der Version 1.2.2 auf 2.0 ohne großen Aufwand möglich? Kann man bestimmt nie 100% sagen…
                    • Durch meine Recherche habe ich viel gutes darüber gelesen OpenVPN mit einer PKI zu nutzen. Seht Ihr das genauso? Oder sollte man bei den paar Usern lieber auf eine andere Verschlüsselung zurück greifen? Aufwand sollte nicht beachtet werden, da es ja nunmal um die Sicherheit geht.

                    Wenn 2.0 dann kommt, sollte eine migration von 1.x ohne Probleme möglich sein.
                    OpenVPN in einer PKI ist "state of the art" was VPNs betrifft.
                    Wenn du willst, kannst du mit plugins noch eine zweite Sicherungsschicht einführen bei der die User zusätzlich noch einen Benutzer und ein Passwort abgeben müssen, wenn sie connecten.
                    Dieser Thread wird dich dazu interessieren: http://forum.pfsense.org/index.php/topic,4105.0.html

                    We do what we must, because we can.

                    Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

                    1 Reply Last reply Reply Quote 0
                    • 3
                      3bit
                      last edited by

                      Hallo,

                      @GruensFroeschli:

                      Vielen vielen Dank für deinen Ausführlichen Beitrag!  :o

                      Somit wär IPsec wieder im Rennen.

                      Das nicht alle "Features" bei Version 1.2.2. unterstützt werden habe ich aus der "Feature-List". Dort steht:
                      -> Not all of the capabilities of OpenVPN are supported yet.
                      Scheinbar habe ich das einfach nur falsch verstanden.

                      Die Klarstellung zu PPTP habe ich leider nicht ganz begriffen. Sorry.  :'(
                      Muss mich da wohl noch mal etwas einlesen. So ganz fruchtet das noch nicht…

                      Würdest Du / oder Ihr generell den OpenVPN mit PKI für mein vorhaben empfehlen?
                      Es sollte wie gesagt ein End-to-Site VPN werden welches möglichst mit Windows sowohl Linux Distributionen funktioniert (Damit sind die User gemeint).

                      Die konfiguration der einzelnen Clients sollte doch eigentlich "keine" Probleme bereiten oder? Ich hatte das so verstanden das es für so gut wie jedes Betriebssystem
                      eine fertige Gui (bei OpenVPN) gibt, womit der Enduser sich dann bequem ins Lan klinken kann...

                      Achso. Und was ist mit "fertigen Geräten" gemeint? Sorry für die "dumme" Frage. Dachte immer IPSec wäre gerade in der Installation / Konfiguration schwieriger als OpenVPN.

                      Bin gerade ein bisschen durch den Wind.  ::)

                      Danke für den Link wo das Thema "zweite Sicherungsschicht" mittels Username / Password behandelt wird. Das ganze klingt sehr interessant.

                      Nette Grüße und einen schönen rest Freitag noch wünscht:

                      Sven

                      1 Reply Last reply Reply Quote 0
                      • R
                        RTO-IT
                        last edited by

                        Der Dlink 804HV läuft prima als VPN Gegenstelle mit pfSense.

                        Man braucht halt eine feste IP bei der Gegenstelle. Manitu(.de) hilft da. ;)

                        1 Reply Last reply Reply Quote 0
                        • GruensFroeschliG
                          GruensFroeschli
                          last edited by

                          @3bit:

                          Das nicht alle "Features" bei Version 1.2.2. unterstützt werden habe ich aus der "Feature-List". Dort steht:
                          -> Not all of the capabilities of OpenVPN are supported yet.
                          Scheinbar habe ich das einfach nur falsch verstanden.

                          Das heisst nur, dass nicht alle möglichkeiten von OpenVPN direkt im GUI verwendbar sind.
                          Man kann die serverconfig auch von hand schreiben und auf die pfSense kopieren und hat somit alle möglichkeiten.

                          Würdest Du / oder Ihr generell den OpenVPN mit PKI für mein vorhaben empfehlen?
                          Es sollte wie gesagt ein End-to-Site VPN werden welches möglichst mit Windows sowohl Linux Distributionen funktioniert (Damit sind die User gemeint).

                          Die konfiguration der einzelnen Clients sollte doch eigentlich "keine" Probleme bereiten oder? Ich hatte das so verstanden das es für so gut wie jedes Betriebssystem
                          eine fertige Gui (bei OpenVPN) gibt, womit der Enduser sich dann bequem ins Lan klinken kann…

                          Ich würde OpenVPN ganz definitiv empfehlen.
                          Mit der neuen version 1.2.3 ist es unterdessen jetzt auch möglich OpenVPN traffic zu filtern.
                          (was ja vorhin ein kritikpunkt war).
                          http://blog.pfsense.org/?p=428

                          Achso. Und was ist mit "fertigen Geräten" gemeint? Sorry für die "dumme" Frage. Dachte immer IPSec wäre gerade in der Installation / Konfiguration schwieriger als OpenVPN.

                          Damit meine ich geräte von zyxel, dlink, netgear, etc. die eingebaute VPN funktionalitäten haben.
                          Momentan herrscht hier ein absolute IPSEC monopol.

                          Mit 1.2.3 ist es jetzt auch möglich dynamische endpoints zu haben.

                          We do what we must, because we can.

                          Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.