[solved] Site to Site VPN - IPSec oder OpenVPN

johndo · Jul 1, 2019, 11:25 AM

Hallo zusammen,

ich habe zwei pfsense Firewalls und möchte damit eine Site to Site Verbindung aufbauen. Ich habe am Standort A einen Rechner der auf Standort B gesichert werden soll. Sprich da soll ein Backup über die VPN Verbdinung gemacht werden.

Welche Art von VPN sollte man dafür verwenden? IPSec oder OpenVPN? Oder ist das für dieses Vorhaben egal?

Rico · Jun 22, 2019, 12:54 PM

Generell rate ich fast immer zu OpenVPN, da es extrem flexibel ist. Wenn es dir wirklich nur um Daten kopieren und damit maximal hohen Durchsatz geht wird aber IPsec die bessere Wahl sein.
Kommt aber auch auf deine Hardware und vor allem Bandbreite an. Wenn du auf beiden Seiten eh nur 100 Mbit/s WAN und einigermaßen aktuelle Hardware hast geht das mit OpenVPN locker.
Hast du auf beiden Seiten am WAN ein Gigabit oder mehr wird es mit OpenVPN dann sehr schwer.
Wenn dir englisch nichts ausmacht schau dir mal das Hangout von @jimp an, da werden IPsec und OpenVPN sehr gut verglichen: https://www.netgate.com/resources/videos/site-to-site-vpns-on-pfsense.html

-Rico

hec · Jun 23, 2019, 2:29 PM

Ich würde immer OpenVPN verwenden. Habe selbst mehrere Kunden auf OpenVPN migriert.

Speziell wenn es komplizierte Setups sind hat OpenVPN nur Vorteile. Gerade bei Außenstandorten mit Full-Mesh ist OpenVPN sehr flexibel da alles geroutet wird.
Einen Geschwindigkeitsunterschied habe ich nicht feststellen können.

Ich finde IPSec zu debuggen ist im Gegensatz zu OpenVPN recht schwer.

Der Nachteil von OpenVPN ist eben nicht alle Geräte können OpenVPN - IPSec kann doch fast jedes Gerät.

tpf · Jun 24, 2019, 2:09 PM

Ich nutze beides, oft sogar parallel, präferiere aber OpenVPN. Die Flexibilität ist hervorragend. Gerade der CSO macht das Leben mit vielen Clients deutlich leichter. Der Charme an IPSec ist z.B. die Fritzbox. Jede Fritte unterstützt IPSec und wenn man sich mal an die Möglichkeiten herangetastet hat, AVM schweigt sich bzgl. der möglichen Konfigurationen nämlich auch auf Nachfrage aus, stellt das eine kostengünstige und funktionierende Lösung dar.

Nachdem AVM hinsichtlich Sicherheit m.E.n. viel mehr tun könnte, veraltet der unterstützte Standard aber kontinuierlich. Wie es auf den neusten Modellen ausschaut, weiß ich nicht. Von 4020 und 7390 ist es mir bekannt.

JeGr · Jun 28, 2019, 1:31 PM

@johndo said in Site to Site VPN - IPSec oder OpenVPN:

Welche Art von VPN sollte man dafür verwenden? IPSec oder OpenVPN? Oder ist das für dieses Vorhaben egal?

Wenn man beide Seiten kontrolliert und die Hardware halbwegs gut gewählt ist um die Linespeed nutzen zu können willst du definitiv OpenVPN.

@hec said in Site to Site VPN - IPSec oder OpenVPN:

Ich würde immer OpenVPN verwenden. Habe selbst mehrere Kunden auf OpenVPN migriert.

Dito aber nicht immer hat man leider die Wahl.

@hec said in Site to Site VPN - IPSec oder OpenVPN:

Ich finde IPSec zu debuggen ist im Gegensatz zu OpenVPN recht schwer.

Gräßlich trifft es eher, wobei hier meistens pfSense nicht der Schuldige ist.

@hec said in Site to Site VPN - IPSec oder OpenVPN:

Der Nachteil von OpenVPN ist eben nicht alle Geräte können OpenVPN - IPSec kann doch fast jedes Gerät.

Jeder kann es, aber keiner richtig. IPSec ist ein Gräuel wie VoIP. Angeblich kann alles IPSEC/VoIP, aber jeder hat wieder nur seinen eigenen BS implementiert und nach ihnen die Sintflut.

@tpf said in Site to Site VPN - IPSec oder OpenVPN:

Jede Fritte unterstützt IPSec und wenn man sich mal an die Möglichkeiten herangetastet hat, AVM schweigt sich bzgl. der möglichen Konfigurationen nämlich auch auf Nachfrage aus, stellt das eine kostengünstige und funktionierende Lösung dar.

Kostengünstig: Naja. Wenn man das Ding selbst kauft ist man mit anderen Lösungen ggf. billiger und leistungsfähiger. Sagen wir mal "halb checked".
Funktionierend: halb checked. AVM ist notorisch darin, ihren IPSec Murks zu verschlimmbessern. Bestes Beispiel: Halbwegs aktuelle Fritzbox (HW, SW ist aktuell) kann keine eingehende IPSEC Verbindung aufbauen/halten. Tunnel klappt nicht, Mismatch, Error, Stimmt alles nicht, BÄH. 5min warten -> Gerät baut von sich aus mit dem Peer die Verbindung auf, alles geht. Exakt gleiche Konfiguration, nur dieses Mal sendet die Fritte. Na danke. Jeder Tunnel Reset dauert also mind. 5-10min, weil die Berliner Fritte jedes Mal erst von sich aus den Tunnel neu aufbauen muss und die Sense unnötig wartet. Dankefein.

Meh ;)

Einziger - und das ist der Größte - Nachteil von IPSEC vs. OpenVPN ist eben, dass OVPN noch stark single core bound läuft und damit von Mehrkern CPUs nicht so heftig profitieren kann. Zudem läuft OVPN im Userspace und nicht wie IPSEC im Kernel Space, damit ist es immer grundsätzlich langsamer. Und das ist der Hauptteilt. Wenig Multicore Speed und sehr schnell CPU belastend. Wenn ihr in den Geräten aber ordentlich Bumms auf der CPU habt und ihr so um die 100-300 Mbps wuppern wollt - vergesst IPSEC. Wenn da ein >Core i5 oder Xeon werkelt auch in Regionen von 500Mbps+.

Wir haben über den C3558 Atom (u.a. SG-5100 und andere Kisten) mit IPSEC an der 700 Mbps Marke gekratzt, 500-600 sind drin. Bei OVPN warens eben ~350. Da macht sich die unterschiedliche Implementation bemerkbar. Frage ist aber eben auch: Wann brauche ich mehr als xxx Mbps dauerhaft über langen Zeitraum. Wenn das eh nur in Peaks (Backup) gebraucht wird und die Dauer ggf. egal (dann dauerts halt 30min länger das Backup) wäre meine Entscheidung klar ;)

tpf · Jun 28, 2019, 1:51 PM

@JeGr
Ne Fritte 4020 kost 45 Euro und stellt einen funktionierenden Tunnelendpunkt bereit. Habe ich dreimal seit ca. 1,5 Jahren völlig problemlos im Einsatz. Fritteseitig mit dynamischer IP.

Ob das nun das Optimum ist - eher nicht. Es läuft aber und das gar nicht schlecht, wenns denn mal läuft.

tpf · Jun 28, 2019, 2:01 PM

Um das hier mal aus der Sicherheitsperspektive beleuchten zu können, ein Auszug aus der Konfig Fritte<->pfS

 mode = phase1_mode_idp;
            phase1ss = "dh14/aes/sha";

phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

JeGr · Jun 28, 2019, 3:07 PM

@tpf said in Site to Site VPN - IPSec oder OpenVPN:

phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

Und das ist genau nicht sicher. Jede Konfiguration - auch wenns nur Alternativen sind - die 2019 noch mit 3DES ums Eck kommen, gehören gefeuert. Gegen die Wand. Pun intended ;)

Aber im Ernst:

DES/3DES
MD5/SHA1
DH RSA Keys mit <3k
vage bekannte oder potentiell unsichere ECDH Kurven

haben in der aktuellen Zeit beim Thema Sicherheit nichts mehr auf einem Secure Gateway zu suchen. Schlimm genug, dass es 2019 noch so viele Firmen gibt, die NEUE Geräte verscherbeln die nix von SHA>256, AES-GCM oder ECDH Kurven wissen. Es ist - sorry für den Ausdruck - zum Kotzen!

tpf · Jun 28, 2019, 3:17 PM

Ja, zum Kotzen. Das stimmt schon. Und wir sind da auch wieder beim Kernproblem: AVM nennt keine neuen Konfigurationsmöglichkeiten. Die Liste von AVM ist aus 2007. https://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_2.pdf

Wobei lt. PDF ja entweder AES 256 oder 3DES genutzt wird. Also quasi als Rückfalloption.

Ich habe lange herumprobiert und bin auf eben jene Konfiguration als funktionierend gestoßen.

JeGr · Jul 1, 2019, 9:36 AM

Exakt. Bin da auch bei dir, nicht falsch verstehen. Klar hat man bei IPSEC die "breite Masse" die es unterstützt - aber eben absolut bescheiden.

Wir hatten die letzten 4 Wochen 6 Kunden mit IPSEC Konfigurationen.
Davon 4 mit relativ neuen oder ganz neuer Hardware
3/6 haben mit mir gestritten, dass AES-128 das Maximum wäre - also nichts mit AES256.
4/6 wollten mich auf SHA-1 runterhandeln
2/6 musste ich auf SHA-1 und kleine DH RSA Werte (1k/2k) gehen, weil die Hardware nichts taugt.
5/6 kennen KEINE elliptischen Kurven. ECDSA, ECDH etc. alles Fremdwörter auf der Hardware.

und der Knaller

6/6 kennen KEIN AES-GCM

Von namhaften und bekannten Herstellern.
Die tausende Euro/Dollar kosten.
Auf neuer Hardware
In 2019

Es hat seinen Grund warum Bruce Schneier zu IPSEC in seinem eigenen Paper sagte:

"It is far too complex, and the complexity has lead to a large number of ambiguities, contradictions, inefficiencies, and weaknesses. It has been very hard work to perform any kind of security analysis; we do not feel that we fully understand the system, let alone have fully analyzed it."

Wenn Security Gurus wie Ferguson und Schneier zu IPSEC sagen: "Wir hatten nicht das Gefühl, dass wir den Mist vollends verstanden haben geschweige denn ihn vollständig analysiert haben" - was fällt dir dann noch ein.

Statt dessen wird jetzt u.a. ja Torvalds immer wieder zitiert wenns um Wireguard geht und ein Getöse veranstaltet, dass jetzt der nächste VPN Heilsbringer kommt. Mega schnell, mega sicher, etc. blafasel. Dass sich das alles nur auf den bislang halbwegs stabilen Linux Teil bezieht, der in den Kernel Space kommen soll, bleibt gerne offen. Denn auf anderen Systemen - gerade BSDs - ist Wireguard gerade ein einziges Gemurkse. Schnell ist es nicht, weil es wie OVPN nicht im Kernel Space läuft, am Interface gibts ständig Änderungen und es ist eben nicht stabil. Trotzdem will jeder auf der Hypewelle mit reiten. Sorry da nehm ich lieber OVPN. Das ist zwar auch ein kleiner Moloch aber immerhin war er halbwegs zu durchschauen und selbst wenn er nicht die mega Performance hat, läuft es sauber und stabil.

tpf · Jun 28, 2019, 3:41 PM

Unglücklicherweise gibts halt kaum bezahlbare Kompaktgeräte, die OVPN können. Dieser kleine Mikrotik-Router wäre so einer. Würde ich gerne nehmen. Aber OVPN mit TCP? Na danke. UDP kann der glaub bis heute nicht.

Rico · Jun 28, 2019, 3:45 PM

Alles was mit OpenWRT oder DD-WRT läuft kann OpenVPN.
Und die SG-1100 ist auch klein und kompakt. ;-)

-Rico

tpf · Jul 1, 2019, 9:39 AM

DD-WRT habe ich früher mal benutzt. Irgendwann habe ich es wegen immer wiederkehrender, nicht behobener Probleme einiger Modelle aber dann aufgegeben. Aktuell habe ich Asus RT-N16 noch mit DD-WRT und auf allen dreien das Problem, dass nach Zeitpunkt X auf einmal die WLAN-Konfig weg ist und unverschlüsselte DD-WRT-SSID publiziert wird.

Es nervt.

Ich habe gerade mal auf der pfS nachgesehen, was sie mit der Fritte aushandelt.
IKE1: AES_CBC HMAC_SHA1_96 PRF_HMAC_SHA1 MODP_2048
IKE2: AES_CBC HMAC_SHA2_512_256 MODP_2048

Ich habe mal gewusst, warum IKE1 nur mit SHA1 geht, aber leider wieder vergessen. Aber gut, dass mir dieser Thread das wieder ins Bewusstsein ruft: ich muss da dran.

OpenVPN s2s mit Shared Key geht auch nicht mit GCM. Irgendwann stelle ich meine Tunnel mal auf SSL/TLS um. Damit gehts dann wohl.

tpf · Jul 9, 2019, 3:16 PM

Ich darf mich bei Euch bedanken ;-) Anscheinend hat sich in der Zwischenzeit Etwas weiterentwickelt. Statt SHA1 geht nun SHA512.

Irgendwann schaue ich mal nach, was neuerdings sonst noch so geht.

Rico · Jun 28, 2019, 7:19 PM

@JeGr said in Site to Site VPN - IPSec oder OpenVPN:

wie OVPN im Kernel Space läuft

Soll bestimmt userspace heißen.

-Rico

JeGr · Jul 1, 2019, 9:37 AM

@Rico said in Site to Site VPN - IPSec oder OpenVPN:

@JeGr said in Site to Site VPN - IPSec oder OpenVPN:

wie OVPN im Kernel Space läuft

Soll bestimmt userspace heißen.

Jein, da fehlte ein "nicht" ;)

JeGr · Jul 1, 2019, 9:39 AM

@tpf Muss ja nicht SHA-512 sein. Ist schön, aber nicht unbedingt notwendig ;) Gerade weil die FBs ja generell immer gern am Leistungsmaximum rumkrebsen, würde mir zur Sicherheit schon ein Minimum von AES128 mit SHA256 reichen auch wenn das echt unterstes Level ist. Besser AES256 mit SHA256 und irgendwas mit DH>2048. Aber wie gesagt, am Maximum laufen die Dinger ja eh schon. Spaß macht das nicht. :)

tpf · Jul 1, 2019, 9:51 AM

Ich teste das bei Gelegenheit mal mit Iperf. Aber ja, die Dinger haben keine wirklichen Leistungsreserven. Freut mich aber, dass die Unterstützung gegeben ist.

johndo · Jul 1, 2019, 11:20 AM

Hallo zusammen,

ich habe mich für OpenVPN entschieden. Die Konfiguration war eigentlich recht einfach. Habe auf meiner Hauptfirewall einen eigenen OpenVPN Server eingerichtet und auf der Remote Site dann den OpenVPN Client.
Der Tunnel steht und ich kann von beiden Seiten zugreifen.

tpf · Jul 9, 2019, 3:16 PM

@tpf said in [solved] Site to Site VPN - IPSec oder OpenVPN:

Ich darf mich bei Euch bedanken ;-) Anscheinend hat sich in der Zwischenzeit Etwas weiterentwickelt. Statt SHA1 geht nun SHA512.

Irgendwann schaue ich mal nach, was neuerdings sonst noch so geht.

Gerade heute wieder mit einer 7390 auf die Nase gefallen und festgestellt, dass AVM seine Doku aufgebohrt hat:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/3331_FRITZ-Box-mit-einem-Firmen-VPN-verbinden/

In der URL einfach die Modellbezeichnung zw. /fritzbox/ und /wissensdatenbank/ editieren. Die Modelle, die ich jetzt versucht habe, sind allesamt dokumentiert. Da findet man die möglichen Einstellungen.