Welches VPN ist einfach einzurichten ?
-
Hi,
Ich habe statische und dynamische Tunnel
Ich gehe mal davon aus, das "tpf" damit die statische bzw. dynamische IP des WAN meint, die vom Provider vergeben wird.
Wobei letztere dynamisch per dyndns zur "statischen IP wird".
Ansonsten kann ich OpenVPN ebenfalls nur empfehlen. Auch ich habe seit Monaten mehrere Tunnel am laufen.
Selbst über UMTS kein Thema.Gruß orcape
-
Hi,
Ich habe statische und dynamische Tunnel
Ich gehe mal davon aus, das "tpf" damit die statische bzw. dynamische IP des WAN meint, die vom Provider vergeben wird.
Wobei letztere dynamisch per dyndns zur "statischen IP wird".Gruß orcape
Hallo orcape,
das erscheint zumindest plauibel - dank dir. In diesem Sinne würde ich dann ja einen "dynamischen Tunnel" betreiben :), da die WAN-Adresse bei mir auch dynamisch vom Provider zugewiesen wird.
Peter
-
Hallo beisammen,
ich gehe eher davon aus, dass Kollege tpf das mein, was man mitunter als 1:1 Tunnel (statisch) und Roadwarrior (dynamisch) bezeichnet. Dass das Ende der Tunnel immer gleich ist (die pfSense) ist natürlich gegeben, aber bei einem 1:1 static tunnel ist die Gegenstelle es ebenfalls (meist Netz zu Netz Tunnel um bspw. Firmennetz mit Außenstellennetz zu verbinden). Mit einem dynamischen Ende ist (bei uns) meist ein "Roadwarrior" gemeint, also ein Client (kein Netz!), der sich aus verschiendenen Netzen (GPRS, UMTS, WLAN, Heim-LAN) einloggt. Also meist ein Laptop/Smartphone/Tablet, welches herumgetragen wird.
Grüßend
Jens -
Hallo beisammen,
ich gehe eher davon aus, dass Kollege tpf das mein, was man mitunter als 1:1 Tunnel (statisch) und Roadwarrior (dynamisch) bezeichnet. Dass das Ende der Tunnel immer gleich ist (die pfSense) ist natürlich gegeben, aber bei einem 1:1 static tunnel ist die Gegenstelle es ebenfalls (meist Netz zu Netz Tunnel um bspw. Firmennetz mit Außenstellennetz zu verbinden). Mit einem dynamischen Ende ist (bei uns) meist ein "Roadwarrior" gemeint, also ein Client (kein Netz!), der sich aus verschiendenen Netzen (GPRS, UMTS, WLAN, Heim-LAN) einloggt. Also meist ein Laptop/Smartphone/Tablet, welches herumgetragen wird.
Grüßend
JensHallo Jens,
ja das hört sich genau so plausibel an. Wäre interessant zu hören, was tpf gemeint hat :).
Gibt es keinen, der meine Frage zu PPTP und Authentifizierung beantworten kann. Ich würde mich auch über einen Link zum Selbststudim freuen, ohne gleich zum Experten werden zu müssen.
Peter
-
Hallo Peter,
Vergiß PPTP. Streiche es einfach aus deiner Liste. Zitat hierzu:
-> PPTP is (as of Oct 2012) considered cryptographically broken and its use is no longer recommended by Microsoft.
Davon abgesehen, dass die MS Implementierung von PPTP schon mehrfachen Angriffsvektoren ausgesetzt war, ist es nicht alleine das MS-CHAP2. Es gibt m.W. kein Authentifizierungsverfahren mehr von PPTP, welches cryptographisch noch als Verschlüsselung gelten würde. MS-CHAP1, 2, MPPE (RC4) - alle broken. Einzig EAP-TLS wäre noch OK, aber das wird kaum unterstützt und verlangt eh eine PKI hintendran. Da kann man sich das auch sparen und gleich OVPN nehmen.
Selbst die neue 2.1er Version von pfSense sagt es in einem Tooltip über der Konfiguration:
PPTP is no longer considered a secure VPN technology because it relies upon MS-CHAPv2 which has been compromised. If you continue to use PPTP be aware that intercepted traffic can be decrypted by a third party, so it should be considered unencrypted. We advise migrating to another VPN type such as OpenVPN or IPsec.
Gruß Jens
-
Hallo Peter,
Vergiß PPTP. Streiche es einfach aus deiner Liste. Zitat hierzu:
-> PPTP is (as of Oct 2012) considered cryptographically broken and its use is no longer recommended by Microsoft.
Davon abgesehen, dass die MS Implementierung von PPTP schon mehrfachen Angriffsvektoren ausgesetzt war, ist es nicht alleine das MS-CHAP2. Es gibt m.W. kein Authentifizierungsverfahren mehr von PPTP, welches cryptographisch noch als Verschlüsselung gelten würde. MS-CHAP1, 2, MPPE (RC4) - alle broken.
Gruß Jens
Dank dir für deine Warnung, Jens. Ich wollte ja nur lernen und auf keinen Fall PPTP einsetzen. Ich bin von OpenVPN sehr begeistert, weil es sicher und flexibel ist. Im Übrigen: MS hat sich bislang noch nie dadurch hervorgetan, dass es sich mit Sicherheitstechniken gut auskennen würde. Ich erinnere nur an den Skandal mit den Update-Servern: MS schien ja eher überrascht zu sein, dass MD5 zu Kollisionen führt :)
Mit besten Grüßen
PeterEDIT: Ah, habe EAP-TLS gerade gelesen - das ginge auch. Bin großer Freund davon. Ich verwende OpenVPN auch mit zertifikatsbasierter Authentifizierung, und auch mein FreeRadius-Server nutzt EAP-TLS. Die PKI ist also vorhanden, die ist im Laufe der Jahre fast zwanglos entstanden - wahrscheinlich nicht unbedingt professionell und optimal, aber für mich reicht es.
Trotzdem lasse ich in jedem Fall die Finger von PPTP. -
Also wenn OffTopic dann richtig :D
EAP-TLS haben wir bspw. auch für die Authentifikation an WLAN APs über Radius im Einsatz, da klappt das auch. Allerdings gestehe ich, dass ich noch nie gesehen hätte, dass es jemand in Verbindung mit PPTP betreibt.
Aber um auch wieder OnTopic zu werden:
Das größte Problem bei den ganzen VPN Techniken war eigentlich bislang eher, dass:
- OpenVPN so schön einfach gewesen war (konfigurationstechnisch und auch in der Art der Funktion: 1 Port und gut), allerdings ein Sack voll Endgeräte (unter anderem alles was Apple heißt) da Probleme mit hatte (bzw. die iDevices es schlicht nicht unterstützten).
- Gerade mit Apple Devices es dann hieß entweder PPTP (blörk!), L2TP oder dann gleich (Cisco) IPSEC. L2TP bzw. IPSec sind dann auch nicht gerade die trivialsten VPN Arten bei der Einrichtung und gerade mit den Gegenstellen, Phasen und verschiedenen Optionen der Verschlüsselung, Hash-Verfahren etc. etc. waren viele einfach überfordert.
Da es jetzt aber auch offiziell (endlich, nach wieviel Jahren?) auch Apple geschafft hat, sein System soweit zu öffnen, dass es die OpenVPN Mädels und Jungs hin bekommen haben, ihr VPN zum Laufen zu bekommen, gibts jetzt eigentlich keine Ausrede mehr gegen OpenVPN. :)
In vielen Firmen setzt man trotzdem bei Tunneln (1:1 Verbindungen von ganzen Netzen) noch auf IPSEC, weil oftmals kommerzielle Boxen im Spiel sind, gerade Einwahl-VPNs (Roadwarrior setups) oder günstigere Alternativen sind heute aber eher SSL VPNs mit proprietärer Lösung (Juniper/Cisco etc.) oder OpenVPN.
Sanfte Grüße ;)
Jens -
Servus,
verzeiht mir die späte Rückmeldung, ich war urlauben ;D
Dynamische Tunnel sind, wie bereits richtig vermutet, die Tunnel der mobilen Gerätschaften unterwegs. Mit statischem Tunnel ist die dauerhafte Verbindung mehrerer Standorte (site2site) gemeint. Statische / dynamische IP spielt ja dank DynDNS keine rolle mehr :-)
-
Grüße Freund tpf,
Keine Vergebung notwendig, Urlaub entschuldigt alles :D
Grüßend
Jens -
@tpf:
Servus,
verzeiht mir die späte Rückmeldung, ich war urlauben ;D
Urlaub ist wichtig :) und ich freue mich, dass die Begrifflichkeiten geklärt werden konnten. Mich würde interessieren, ob "schinkenimitat" schon seine VPN-Implementierung gewählt und mit der Installation begonnen hat. Nach Threaderöffnung ist er/sie sich nicht mehr gemeldet.
Peter
