[solved] Site to Site VPN - IPSec oder OpenVPN
-
Unglücklicherweise gibts halt kaum bezahlbare Kompaktgeräte, die OVPN können. Dieser kleine Mikrotik-Router wäre so einer. Würde ich gerne nehmen. Aber OVPN mit TCP? Na danke. UDP kann der glaub bis heute nicht.
-
Alles was mit OpenWRT oder DD-WRT läuft kann OpenVPN.
Und die SG-1100 ist auch klein und kompakt. ;-)-Rico
-
DD-WRT habe ich früher mal benutzt. Irgendwann habe ich es wegen immer wiederkehrender, nicht behobener Probleme einiger Modelle aber dann aufgegeben. Aktuell habe ich Asus RT-N16 noch mit DD-WRT und auf allen dreien das Problem, dass nach Zeitpunkt X auf einmal die WLAN-Konfig weg ist und unverschlüsselte DD-WRT-SSID publiziert wird.
Es nervt.
Ich habe gerade mal auf der pfS nachgesehen, was sie mit der Fritte aushandelt.
IKE1: AES_CBC HMAC_SHA1_96 PRF_HMAC_SHA1 MODP_2048
IKE2: AES_CBC HMAC_SHA2_512_256 MODP_2048Ich habe mal gewusst, warum IKE1 nur mit SHA1 geht, aber leider wieder vergessen. Aber gut, dass mir dieser Thread das wieder ins Bewusstsein ruft: ich muss da dran.
OpenVPN s2s mit Shared Key geht auch nicht mit GCM. Irgendwann stelle ich meine Tunnel mal auf SSL/TLS um. Damit gehts dann wohl.
10 years pfSense! 2006 - 2016
-
Ich darf mich bei Euch bedanken ;-) Anscheinend hat sich in der Zwischenzeit Etwas weiterentwickelt. Statt SHA1 geht nun SHA512.
Irgendwann schaue ich mal nach, was neuerdings sonst noch so geht.
-
@JeGr said in Site to Site VPN - IPSec oder OpenVPN:
wie OVPN im Kernel Space läuft
Soll bestimmt userspace heißen.
-Rico
-
@Rico said in Site to Site VPN - IPSec oder OpenVPN:
@JeGr said in Site to Site VPN - IPSec oder OpenVPN:
wie OVPN im Kernel Space läuft
Soll bestimmt userspace heißen.
Jein, da fehlte ein "nicht" ;)
-
@tpf Muss ja nicht SHA-512 sein. Ist schön, aber nicht unbedingt notwendig ;) Gerade weil die FBs ja generell immer gern am Leistungsmaximum rumkrebsen, würde mir zur Sicherheit schon ein Minimum von AES128 mit SHA256 reichen auch wenn das echt unterstes Level ist. Besser AES256 mit SHA256 und irgendwas mit DH>2048. Aber wie gesagt, am Maximum laufen die Dinger ja eh schon. Spaß macht das nicht. :)
-
Ich teste das bei Gelegenheit mal mit Iperf. Aber ja, die Dinger haben keine wirklichen Leistungsreserven. Freut mich aber, dass die Unterstützung gegeben ist.
-
Hallo zusammen,
ich habe mich für OpenVPN entschieden. Die Konfiguration war eigentlich recht einfach. Habe auf meiner Hauptfirewall einen eigenen OpenVPN Server eingerichtet und auf der Remote Site dann den OpenVPN Client.
Der Tunnel steht und ich kann von beiden Seiten zugreifen. -
@tpf said in [solved] Site to Site VPN - IPSec oder OpenVPN:
Ich darf mich bei Euch bedanken ;-) Anscheinend hat sich in der Zwischenzeit Etwas weiterentwickelt. Statt SHA1 geht nun SHA512.
Irgendwann schaue ich mal nach, was neuerdings sonst noch so geht.
Gerade heute wieder mit einer 7390 auf die Nase gefallen und festgestellt, dass AVM seine Doku aufgebohrt hat:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/3331_FRITZ-Box-mit-einem-Firmen-VPN-verbinden/In der URL einfach die Modellbezeichnung zw. /fritzbox/ und /wissensdatenbank/ editieren. Die Modelle, die ich jetzt versucht habe, sind allesamt dokumentiert. Da findet man die möglichen Einstellungen.
