Wahl der richtigen VPN Lösung



  • Hallo zusammen,

    ein Bekannter bat mich vor kurzem seine Pfsense so zu konfiguieren das auch externe Mitatbeiter auf das Firmeninterne Lan zugreifen können.
    Er kam damit zu mir da ich der jenige war, der die PFsense vorort konfiguriert hat.

    Leider ist es so das ich mich in Sachen VPN nicht sooo gt auskenne. Ich weiß was es ist und wofür es gebraucht wird. Nur leider habe ich inzwischen
    den Überblick der ganzen Möglichkeiten verloren. Könnte mir eventuell jemand kurz erklären, welche Lösung hier die beste ist?

    Folgende Informationen helfen vielleicht bei der Entscheidung:

    • Die PFsense die später als VPN Gateway dienen soll hängt direkt hinter einem Modem an einer 4Mbit SDSL Leitung
    • Es sollte möglich sein 4 Tunnel gleizeitig aufbauen zu können. Also für 4 Mitarbeiter von zuhause.
    • Es muss die Möglichkeit bestehen auf die Daten im Netzwerk zugreifen zu können. Die da wären: Dateiserver, Warenwirtschaftssystem…
    • Alle Mitarbeiter gehen über eine ADSL Leitung ins Netz.
    • Die Mitarbeiter benutzen Windows sowie Ubuntu als Betriebssysteme.

    Kann man dies überhaupt "sicher" mit einer PFsense realisieren? Oder sollte man auf andere Lösungen zurück greifen? Da eine Pfsense vorort eh im Einsatz ist, wäre es natürlich super wenn man diese dafür benutzen könnte.

    Jetzt Frage ich mal so in die Runde. Tutorials gibt es ja wie Sand am Meer. Doch auf welches VPN sollte hier zurück gegriffen werden? OpenVPN mit PKI, IPSec, SSL? Oder was komplett anderes?

    Wäre nett wenn möglichst viele ein paar Vorschläge einreichen würden.

    Vielen Dank!

    Viele Grüße aus Berlin.
    Sven



  • Zuerst einmal kann man sagen, dass Du mit der pfSense auf jeden Fall eine sichere und verschlüsselte Verbindung ins Firmennetz aufbauen kannst. Die 4 benötigten Leitungen sind an sich überhaupt kein Problem. Es wird wohl dann zum Problem, wenn Du 4000 gleichzeitige VPNs haben willst.

    Welchen VPN Du wählst hängt wohl am ehesten von den Windows Benutzern ab. Ich bevorzuge selber OpenVPN mit PKI. Das läuft auf Mac und FreeBSD wunderbar, aber ich weiss nicht, ob und wie es auf Windows funktioniert. IPSec sollte jedoch bestimmt funktionieren.

    Ein eigentlich viel grösseres Problem ist, dass Du Dir ganz genau überlegen musst, wie Du die externen Besucher vom Rest des nicht benötigten Netzes sauber abtrennst. Grundsätzlich ist davon auszugehen, dass die externen Benutzer ihre PCs nicht sauber updaten und deshalb verseucht sind. Du solltest also ganz genau wissen, ob und welche Services (= Ports) Du wirklich für externe Benutzer zulassen willst.



  • Hm, die Überlegung von Monoecus, die hosts der Home-Nutzer zwangsweise als 'dirty' anzunehmen, ist sicher gut und wohl leider auch richtig.
    Das schränkt aber auch die Verwendung der einzelnen VPN Lösungen mit pfSense ein, denn OpenVPN kann in der aktuellen Implementierung da zB nichts filtern. IPsec schon.

    Wenn Du also Ports filtern willst oder musst, dann führt derzeit wohl kein Weg um IPsec herum. Da es schon länger besteht, gibt es entsprechende Clients und Tutorials auch für eigentlich jedes gescheite Betriebssystem. Zu PPTP (oder L2PT) kann ich wegen mangelnder Erfahrung gar nichts beitragen.

    Ich selbst benutze OpenVPN mit meinem Laptop, aber der gilt sicher auch nicht als 'dirty'. Zumal er gerade lokal in der Domain angedockt ist.



  • @Monoecus:

    Welchen VPN Du wählst hängt wohl am ehesten von den Windows Benutzern ab. Ich bevorzuge selber OpenVPN mit PKI. Das läuft auf Mac und FreeBSD wunderbar, aber ich weiss nicht, ob und wie es auf Windows funktioniert. IPSec sollte jedoch bestimmt funktionieren.

    Ich benutz relativ häufig OpenVPN unter Windows.
    Im Grunde genommen ist es gleich wie unter OSX mit TunnelBlick.



  • Hallo,

    Läuft mit PPTP und auch IPSEC hier sauber, regeltechnisch kannste damit beides verwalten, IPSEC ist größerer Aufwand, da die Mitarbeiter
    zuhause entweder auch ein pfsense haben müssen (dann völlig easy) und superstabil oder aber einen VPN Client auf dem Home-Maschine
    oder aber PPTP mit Windows. Wobei PPTP in der 1.2 regelmentierungen unterliegt.

    in 1.23 wird auch NAT Traversal unterstützt, dann sollten auch alle Clients mit allen Konfigurationen sauber laufen.

    Einfach einmal probieren

    NCP läuft auf jeden Fall, auch mit der 1.2 ordentlich…..., aber nicht frei, shrew.net ist frei und wird sicherlich in Zukunft auch super mit der 2.0 zusammenarbeiten.........

    Gruß
    Heiko

    P.S.: Wer die Qual der Wahl hat......



  • Hallo,

    danke für die Antworten.

    Also wenn ich das jetzt richtig verstanden habe fällt die OpenVPN funktion komplett weg da man sonst nichts filtern könnte?
    Somit gäbe es keinen Schutz für das Netzwerk wenn die Externenmitarbeiter versuchte Rechner haben? Das wäre weniger toll…

    Somit könnte man nur noch PPTP und IPSec filtern. Da IPSec nur mit größerem Aufwand umzusetzen ist (wenn meine Quellen alle stimmen),
    würde es dann auf PPTP hinauslaufen.

    Ist dies zu empfehlen? Oder sollte man trotz des Mehraufwands eher IPsec nehmen?

    Vielen Dank schon mal!

    Gruß Sven



  • Falls Du Dir die neueste Version 2.0 von pfSense installieren kannst/willst, dann kannst Du auch OpenVPN nehmen. Das sollte in der neuen Version filterbar sein.



  • Hallo,

    da bin ich nochmal.  ::)

    Ich habe mir soeben nochmal die "Feature List" der aktuellen PFsense angeschaut und bin zu folgendem Ergebnis gekommen.

    IPSec:
    In der Momentanen Version uninteressant, da Mobile Clients hinter NAT nicht unterstützt werden…
    -> NAT-T is not supported, which means mobile clients behind NAT are not supported.
    Da die Mitarbeiter zuhause alle hinter einem Router sitzen der auch noch "natted", dürfte es da Probleme geben. Wenn ich alles richtig verstanden habe.  ;D

    OpenVPN:
    Sollte mit NAT klar kommen, läuft mit vielen Betriebssystemen, recht einfach zu konfigurieren, einziges Manko: Ich kann in der aktuellen Version nicht filtern sowie unterstützt
    nicht alle Features von OpenVPN. Diese beiden Punkte sollen aber ab Version 2.0 aus der Welt sein.

    Kommen wir zu PPTP:
    Hier scheint das Filtern zu funtionieren. Sollte man an dem Standort aber "nur" eine statische IP besitzen, gäbe es Probleme mit PPTP Verbindung die aus dem Lan über das Wan
    Interface in die Weite Welt wollen...

    Sollte ich etwas falsch verstanden haben, so wäre es nett wenn jemand mich darauf hinweisen könnte.
    Meine Momentane Entscheidung würde somit auf OpenVPN fallen. Dort kann ich zwar nicht Filtern, aber dies soll ja ab Version 2.0 behoben sein. Die "einfache" Konfiguration der Clients und die vielen unterstützten Betriebssysteme sind für meine ein weiterer Pluspunkt.

    Ein - zwei Fragen habe ich aber trotzdem noch.  :D

    • Wäre später eine Update der Version 1.2.2 auf 2.0 ohne großen Aufwand möglich? Kann man bestimmt nie 100% sagen...
    • Durch meine Recherche habe ich viel gutes darüber gelesen OpenVPN mit einer PKI zu nutzen. Seht Ihr das genauso? Oder sollte man bei den paar Usern lieber auf eine andere Verschlüsselung zurück greifen? Aufwand sollte nicht beachtet werden, da es ja nunmal um die Sicherheit geht.

    Bis dann und nette Grüße!

    Sven



  • @3bit:

    IPSec:
    In der Momentanen Version uninteressant, da Mobile Clients hinter NAT nicht unterstützt werden…
    -> NAT-T is not supported, which means mobile clients behind NAT are not supported.
    Da die Mitarbeiter zuhause alle hinter einem Router sitzen der auch noch "natted", dürfte es da Probleme geben. Wenn ich alles richtig verstanden habe.  ;D

    http://blog.pfsense.org/?p=377

    IPsec connection reloading improvements - When making changes to a single IPsec connection, or adding an IPsec connection, it no longer reloads all your IPsec connections. Only the changed connections are reloaded. That wasn’t a big deal in most environments, but in some it means you can’t change anything in IPsec except during maintenance windows. This is being used in a critical production environment with 400 connections, and works well.

    Dynamic site to site IPsec - because of the above change, it was trivial to add support for dynamic DNS hostnames in IPsec. While 1.2.x will not receive new features, this became an exception.

    IPsec NAT-T support has also been added.

    Die oben genannten Einschränkungen fallen mit 1.2.3 weg.
    2.0 ist noch weeeeeit weg, während 1.2.3 schon quasi pre RC status hat und schon in vielen produktiven einrichtungen eingesetzt wird.

    OpenVPN:
    Sollte mit NAT klar kommen, läuft mit vielen Betriebssystemen, recht einfach zu konfigurieren, einziges Manko: Ich kann in der aktuellen Version nicht filtern sowie unterstützt
    nicht alle Features von OpenVPN. Diese beiden Punkte sollen aber ab Version 2.0 aus der Welt sein.

    Welche features werden nicht unterstützt?
    Da die pfSense lediglich ein GUI zu OpenVPN ist, hast du sämtliche OpenVPN funktionalitäten, auch wenn sie nicht direkt zugänglich sind.
    Da für die clients sowieso von hand eine config geschrieben werden muss, kann man auch für den server eine config schreiben.

    Kommen wir zu PPTP:
    Hier scheint das Filtern zu funtionieren. Sollte man an dem Standort aber "nur" eine statische IP besitzen, gäbe es Probleme mit PPTP Verbindung die aus dem Lan über das Wan
    Interface in die Weite Welt wollen…

    Das betrifft ausgehende Verbindungen (von hinter der pfSense) und nicht eingehende Verbindungen.
    (Es sei denn, du hast mehrer User hinter der selben public IP im Internet welche gleichzeitig auf deinen Server zugreifen wollen. Das ist aber ein Problem clientseitig und nicht auf der Seite pfSense)

    Sollte ich etwas falsch verstanden haben, so wäre es nett wenn jemand mich darauf hinweisen könnte.
    Meine Momentane Entscheidung würde somit auf OpenVPN fallen. Dort kann ich zwar nicht Filtern, aber dies soll ja ab Version 2.0 behoben sein. Die "einfache" Konfiguration der Clients und die vielen unterstützten Betriebssysteme sind für meine ein weiterer Pluspunkt.

    Ich persönlich finde OpenVPN momentan die beste VPN Lösung, jedoch nicht in jeder Umgebung sinnvoll.
    Gerade wenn es mit "fertigen Geräten" anderer Herstellern zusammen funktionieren soll, ist IPSEC quasi der Standard.
    Für den Enduser sind die IPSEC Lösungen auch meist weniger Umständlich.
    "Man hat ein Programm mit einem Button auf dem "connect" steht und sonst nichts.

    2.0 ist noch sehr weit weg. Ich würde mir noch keine Gedanken über das machen.

    Ein - zwei Fragen habe ich aber trotzdem noch.  :D

    • Wäre später eine Update der Version 1.2.2 auf 2.0 ohne großen Aufwand möglich? Kann man bestimmt nie 100% sagen…
    • Durch meine Recherche habe ich viel gutes darüber gelesen OpenVPN mit einer PKI zu nutzen. Seht Ihr das genauso? Oder sollte man bei den paar Usern lieber auf eine andere Verschlüsselung zurück greifen? Aufwand sollte nicht beachtet werden, da es ja nunmal um die Sicherheit geht.

    Wenn 2.0 dann kommt, sollte eine migration von 1.x ohne Probleme möglich sein.
    OpenVPN in einer PKI ist "state of the art" was VPNs betrifft.
    Wenn du willst, kannst du mit plugins noch eine zweite Sicherungsschicht einführen bei der die User zusätzlich noch einen Benutzer und ein Passwort abgeben müssen, wenn sie connecten.
    Dieser Thread wird dich dazu interessieren: http://forum.pfsense.org/index.php/topic,4105.0.html



  • Hallo,

    @GruensFroeschli:

    Vielen vielen Dank für deinen Ausführlichen Beitrag!  :o

    Somit wär IPsec wieder im Rennen.

    Das nicht alle "Features" bei Version 1.2.2. unterstützt werden habe ich aus der "Feature-List". Dort steht:
    -> Not all of the capabilities of OpenVPN are supported yet.
    Scheinbar habe ich das einfach nur falsch verstanden.

    Die Klarstellung zu PPTP habe ich leider nicht ganz begriffen. Sorry.  :'(
    Muss mich da wohl noch mal etwas einlesen. So ganz fruchtet das noch nicht…

    Würdest Du / oder Ihr generell den OpenVPN mit PKI für mein vorhaben empfehlen?
    Es sollte wie gesagt ein End-to-Site VPN werden welches möglichst mit Windows sowohl Linux Distributionen funktioniert (Damit sind die User gemeint).

    Die konfiguration der einzelnen Clients sollte doch eigentlich "keine" Probleme bereiten oder? Ich hatte das so verstanden das es für so gut wie jedes Betriebssystem
    eine fertige Gui (bei OpenVPN) gibt, womit der Enduser sich dann bequem ins Lan klinken kann...

    Achso. Und was ist mit "fertigen Geräten" gemeint? Sorry für die "dumme" Frage. Dachte immer IPSec wäre gerade in der Installation / Konfiguration schwieriger als OpenVPN.

    Bin gerade ein bisschen durch den Wind.  ::)

    Danke für den Link wo das Thema "zweite Sicherungsschicht" mittels Username / Password behandelt wird. Das ganze klingt sehr interessant.

    Nette Grüße und einen schönen rest Freitag noch wünscht:

    Sven



  • Der Dlink 804HV läuft prima als VPN Gegenstelle mit pfSense.

    Man braucht halt eine feste IP bei der Gegenstelle. Manitu(.de) hilft da. ;)



  • @3bit:

    Das nicht alle "Features" bei Version 1.2.2. unterstützt werden habe ich aus der "Feature-List". Dort steht:
    -> Not all of the capabilities of OpenVPN are supported yet.
    Scheinbar habe ich das einfach nur falsch verstanden.

    Das heisst nur, dass nicht alle möglichkeiten von OpenVPN direkt im GUI verwendbar sind.
    Man kann die serverconfig auch von hand schreiben und auf die pfSense kopieren und hat somit alle möglichkeiten.

    Würdest Du / oder Ihr generell den OpenVPN mit PKI für mein vorhaben empfehlen?
    Es sollte wie gesagt ein End-to-Site VPN werden welches möglichst mit Windows sowohl Linux Distributionen funktioniert (Damit sind die User gemeint).

    Die konfiguration der einzelnen Clients sollte doch eigentlich "keine" Probleme bereiten oder? Ich hatte das so verstanden das es für so gut wie jedes Betriebssystem
    eine fertige Gui (bei OpenVPN) gibt, womit der Enduser sich dann bequem ins Lan klinken kann…

    Ich würde OpenVPN ganz definitiv empfehlen.
    Mit der neuen version 1.2.3 ist es unterdessen jetzt auch möglich OpenVPN traffic zu filtern.
    (was ja vorhin ein kritikpunkt war).
    http://blog.pfsense.org/?p=428

    Achso. Und was ist mit "fertigen Geräten" gemeint? Sorry für die "dumme" Frage. Dachte immer IPSec wäre gerade in der Installation / Konfiguration schwieriger als OpenVPN.

    Damit meine ich geräte von zyxel, dlink, netgear, etc. die eingebaute VPN funktionalitäten haben.
    Momentan herrscht hier ein absolute IPSEC monopol.

    Mit 1.2.3 ist es jetzt auch möglich dynamische endpoints zu haben.


Log in to reply