Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Welches VPN ist einfach einzurichten ?

    Scheduled Pinned Locked Moved Deutsch
    16 Posts 6 Posters 6.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      orcape
      last edited by

      Hi schinkenimitat,

      hier mal ein Link zu einem OpenVPN-Tutorial…..
      http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-wrt-router-oder-pfsense-firewall-123285.html
      ….ist eigentlich recht simpel einzurichten.

      Gruß orcape

      1 Reply Last reply Reply Quote 0
      • T
        tpf
        last edited by

        Ich würde OpenVPN empfehlen. Ich habe statische und dynamische Tunnel seit Monaten im Einsatz und bin hoch zufrieden. Man ist sehr flexibel was das NAT betrifft. Der ClientExporter und die Benutzerverwaltung machen einem das Leben echt leicht.

        PPTP gilt als kompromittiert.

        10 years pfSense! 2006 - 2016

        1 Reply Last reply Reply Quote 0
        • P
          pvoigt
          last edited by

          @tpf:

          Ich würde OpenVPN empfehlen. Ich habe statische und dynamische Tunnel seit Monaten im Einsatz und bin hoch zufrieden. Man ist sehr flexibel was das NAT betrifft. Der ClientExporter und die Benutzerverwaltung machen einem das Leben echt leicht.

          PPTP gilt als kompromittiert.

          Hallo tpf,
          ich freue mich, dass du OpenVPN als ebenso flexibel und einfach empfindest wie ich. Was meinst du mit "dynamische Tunnel"? Ich kenne mich sicher nicht besonders gut mit OpenVPN aus, aber mit dem Begriff kann ich so nichts anfangen. Für mein Tunnel-Device bei meinem OpenVPN-Server habe ich fest (statisch) ein Netzwerk angeben müssen. Geht das auch dynamisch oder habe ich etwas falsch verstanden?

          Zu PPTP: Dass PPTP als unsicher gilt, habe ich auch mehrfach gelesen. Soweit ich es verstanden habe, liegt es am MS-CHAP v2. Was ich noch nicht verstanden habe ist, ob PPTP zwangsläufig mit MS-CHAP v2 verwendet werden kann. Kann man bei PPTP nicht auch das Authentifizierungsverfahren einstellen wie bei OpenVPN?

          Peter

          1 Reply Last reply Reply Quote 0
          • O
            orcape
            last edited by

            Hi,

            Ich habe statische und dynamische Tunnel

            Ich gehe mal davon aus, das "tpf" damit die statische bzw. dynamische IP des WAN meint, die vom Provider vergeben wird.
            Wobei letztere dynamisch per dyndns zur "statischen IP wird".
            Ansonsten kann ich OpenVPN ebenfalls nur empfehlen. Auch ich habe seit Monaten mehrere Tunnel am laufen.
            Selbst über UMTS kein Thema.

            Gruß orcape

            1 Reply Last reply Reply Quote 0
            • P
              pvoigt
              last edited by

              @orcape:

              Hi,

              Ich habe statische und dynamische Tunnel

              Ich gehe mal davon aus, das "tpf" damit die statische bzw. dynamische IP des WAN meint, die vom Provider vergeben wird.
              Wobei letztere dynamisch per dyndns zur "statischen IP wird".

              Gruß orcape

              Hallo orcape,

              das erscheint zumindest plauibel - dank dir. In diesem Sinne würde ich dann ja einen "dynamischen Tunnel" betreiben :), da die WAN-Adresse bei mir auch dynamisch vom Provider zugewiesen wird.

              Peter

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Hallo beisammen,

                ich gehe eher davon aus, dass Kollege tpf das mein, was man mitunter als 1:1 Tunnel (statisch) und Roadwarrior (dynamisch) bezeichnet. Dass das Ende der Tunnel immer gleich ist (die pfSense) ist natürlich gegeben, aber bei einem 1:1 static tunnel ist die Gegenstelle es ebenfalls (meist Netz zu Netz Tunnel um bspw. Firmennetz mit Außenstellennetz zu verbinden). Mit einem dynamischen Ende ist (bei uns) meist ein "Roadwarrior" gemeint, also ein Client (kein Netz!), der sich aus verschiendenen Netzen (GPRS, UMTS, WLAN, Heim-LAN) einloggt. Also meist ein Laptop/Smartphone/Tablet, welches herumgetragen wird.

                Grüßend
                Jens

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • P
                  pvoigt
                  last edited by

                  @JeGr:

                  Hallo beisammen,

                  ich gehe eher davon aus, dass Kollege tpf das mein, was man mitunter als 1:1 Tunnel (statisch) und Roadwarrior (dynamisch) bezeichnet. Dass das Ende der Tunnel immer gleich ist (die pfSense) ist natürlich gegeben, aber bei einem 1:1 static tunnel ist die Gegenstelle es ebenfalls (meist Netz zu Netz Tunnel um bspw. Firmennetz mit Außenstellennetz zu verbinden). Mit einem dynamischen Ende ist (bei uns) meist ein "Roadwarrior" gemeint, also ein Client (kein Netz!), der sich aus verschiendenen Netzen (GPRS, UMTS, WLAN, Heim-LAN) einloggt. Also meist ein Laptop/Smartphone/Tablet, welches herumgetragen wird.

                  Grüßend
                  Jens

                  Hallo Jens,

                  ja das hört sich genau so plausibel an. Wäre interessant zu hören, was tpf gemeint hat :).

                  Gibt es keinen, der meine Frage zu PPTP und Authentifizierung beantworten kann. Ich würde mich auch über einen Link zum Selbststudim freuen, ohne gleich zum Experten werden zu müssen.

                  Peter

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    Hallo Peter,

                    Vergiß PPTP. Streiche es einfach aus deiner Liste. Zitat hierzu:

                    -> PPTP is (as of Oct 2012) considered cryptographically broken and its use is no longer recommended by Microsoft.

                    Davon abgesehen, dass die MS Implementierung von PPTP schon mehrfachen Angriffsvektoren ausgesetzt war, ist es nicht alleine das MS-CHAP2. Es gibt m.W. kein Authentifizierungsverfahren mehr von PPTP, welches cryptographisch noch als Verschlüsselung gelten würde. MS-CHAP1, 2, MPPE (RC4) - alle broken. Einzig EAP-TLS wäre noch OK, aber das wird kaum unterstützt und verlangt eh eine PKI hintendran. Da kann man sich das auch sparen und gleich OVPN nehmen.

                    Selbst die neue 2.1er Version von pfSense sagt es in einem Tooltip über der Konfiguration:

                    PPTP is no longer considered a secure VPN technology because it relies upon MS-CHAPv2 which has been compromised. If you continue to use PPTP be aware that intercepted traffic can be decrypted by a third party, so it should be considered unencrypted. We advise migrating to another VPN type such as OpenVPN or IPsec.

                    Gruß Jens

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • P
                      pvoigt
                      last edited by

                      @JeGr:

                      Hallo Peter,

                      Vergiß PPTP. Streiche es einfach aus deiner Liste. Zitat hierzu:

                      -> PPTP is (as of Oct 2012) considered cryptographically broken and its use is no longer recommended by Microsoft.

                      Davon abgesehen, dass die MS Implementierung von PPTP schon mehrfachen Angriffsvektoren ausgesetzt war, ist es nicht alleine das MS-CHAP2. Es gibt m.W. kein Authentifizierungsverfahren mehr von PPTP, welches cryptographisch noch als Verschlüsselung gelten würde. MS-CHAP1, 2, MPPE (RC4) - alle broken.

                      Gruß Jens

                      Dank dir für deine Warnung, Jens. Ich wollte ja nur lernen und auf keinen Fall PPTP einsetzen. Ich bin von OpenVPN sehr begeistert, weil es sicher und flexibel ist. Im Übrigen: MS hat sich bislang noch nie dadurch hervorgetan, dass es sich mit Sicherheitstechniken gut auskennen würde. Ich erinnere nur an den Skandal mit den Update-Servern: MS schien ja eher überrascht zu sein, dass MD5 zu Kollisionen führt :)

                      Mit besten Grüßen
                      Peter

                      EDIT: Ah, habe EAP-TLS gerade gelesen - das ginge auch. Bin großer Freund davon. Ich verwende OpenVPN auch mit zertifikatsbasierter Authentifizierung, und auch mein FreeRadius-Server nutzt EAP-TLS. Die PKI ist also vorhanden, die ist im Laufe der Jahre fast zwanglos entstanden - wahrscheinlich nicht unbedingt professionell und optimal, aber für mich reicht es.
                      Trotzdem lasse ich in jedem Fall die Finger von PPTP.

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Also wenn OffTopic dann richtig :D

                        EAP-TLS haben wir bspw. auch für die Authentifikation an WLAN APs über Radius im Einsatz, da klappt das auch. Allerdings gestehe ich, dass ich noch nie gesehen hätte, dass es jemand in Verbindung mit PPTP betreibt.

                        Aber um auch wieder OnTopic zu werden:

                        Das größte Problem bei den ganzen VPN Techniken war eigentlich bislang eher, dass:

                        1. OpenVPN so schön einfach gewesen war (konfigurationstechnisch und auch in der Art der Funktion: 1 Port und gut), allerdings ein Sack voll Endgeräte (unter anderem alles was Apple heißt) da Probleme mit hatte (bzw. die iDevices es schlicht nicht unterstützten).
                        2. Gerade mit Apple Devices es dann hieß entweder PPTP (blörk!), L2TP oder dann gleich (Cisco) IPSEC. L2TP bzw. IPSec sind dann auch nicht gerade die trivialsten VPN Arten bei der Einrichtung und gerade mit den Gegenstellen, Phasen und verschiedenen Optionen der Verschlüsselung, Hash-Verfahren etc. etc. waren viele einfach überfordert.

                        Da es jetzt aber auch offiziell (endlich, nach wieviel Jahren?) auch Apple geschafft hat, sein System soweit zu öffnen, dass es die OpenVPN Mädels und Jungs hin bekommen haben, ihr VPN zum Laufen zu bekommen, gibts jetzt eigentlich keine Ausrede mehr gegen OpenVPN. :)

                        In vielen Firmen setzt man trotzdem bei Tunneln (1:1 Verbindungen von ganzen Netzen) noch auf IPSEC, weil oftmals kommerzielle Boxen im Spiel sind, gerade Einwahl-VPNs (Roadwarrior setups) oder günstigere Alternativen sind heute aber eher SSL VPNs mit proprietärer Lösung (Juniper/Cisco etc.) oder OpenVPN.

                        Sanfte Grüße ;)
                        Jens

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • T
                          tpf
                          last edited by

                          Servus,

                          verzeiht mir die späte Rückmeldung, ich war urlauben  ;D

                          Dynamische Tunnel sind, wie bereits richtig vermutet, die Tunnel der mobilen Gerätschaften unterwegs. Mit statischem Tunnel ist die dauerhafte Verbindung mehrerer Standorte (site2site) gemeint. Statische / dynamische IP spielt ja dank DynDNS keine rolle mehr :-)

                          10 years pfSense! 2006 - 2016

                          1 Reply Last reply Reply Quote 0
                          • JeGrJ
                            JeGr LAYER 8 Moderator
                            last edited by

                            Grüße Freund tpf,

                            Keine Vergebung notwendig, Urlaub entschuldigt alles :D

                            Grüßend
                            Jens

                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                            1 Reply Last reply Reply Quote 0
                            • P
                              pvoigt
                              last edited by

                              @tpf:

                              Servus,

                              verzeiht mir die späte Rückmeldung, ich war urlauben  ;D

                              Urlaub ist wichtig :) und ich freue mich, dass die Begrifflichkeiten geklärt werden konnten. Mich würde interessieren, ob "schinkenimitat" schon seine VPN-Implementierung gewählt und mit der Installation begonnen hat. Nach Threaderöffnung ist er/sie sich nicht mehr gemeldet.

                              Peter

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.