Welches VPN ist einfach einzurichten ?

schinkenimitat

Hallo zusammen,

habe mein Alix 2D2 mit pfsense ausgestattet.
Funktioniert alles perfekt mit dem DOCSIS-Modem …

Nun soll eine geschuetzte Verbindung von meinem Notebook (Debian Wheezy) sowie meinem Smartphone mit CM Android 4.2.2 hergestellt werden.

Moechte mich von ausserhalb -also oeffentlichen Hotspots und meinem Smartphone - ueber meine Verbindung zu Hause absichern.

Welche ist die einfachste Moeglichkeit um dies einzurichten ??  IPsec oder OpenVPN oder PPTP ?

Ich brauche keinen Zugriff auf mein Netzwerk, es reicht wenn ich das Alix-board als gateway nutzen kann um mit meiner Heim-IP-Adresse zu surfen.

Wuerde mich ueber ein paar Stichworte freuen, damit ich mich einlesen kann.

mfg

schinken

pvoigt

Hallo "schinkenimitat" (was für ein Pseudonym :)),

ich selbst habe vor genau einem Jahr meinen OpenVPN-Server konfiguriert. Die damalige pfSense-Version war 2.0.1, jetzt verwende ich 2.0.3.

Die besten Hinweise habe ich im pfSense-Forum selbst gefunden - überwiegend im englischsprachigen Teil. Ich bin selbst bei Null angefangen und erinnere mich genau, dass das größte Problem war, dass viele Dokumente offensichtlich veraltet sind und sich auf pfSense 1.2.x bezogen. Vielfach ist erst beim Lesen klar geworden, dass sie so nicht auf Version 2.0.x passen. Prinzipiell ist die Version jedoch solange egal, wie man noch versucht, den prinzipiellen Aufbau und Ablauf zu verstehen.

Ich habe noch einmal schnell gesucht und erinnere mich genau, dass ich mit diesem Dokument angefangen bin:
http://www.pfsense.org/mirror.php?section=tutorials/openvpn/pfsense-ovpn.pdf

Danach haben mir folgende Dokumente weitergeholfen:
http://blog.stefcho.eu/?p=492
http://forum.pfsense.org/index.php/topic,22115.0.html
http://blog.stefcho.eu/?p=492
http://forum.pfsense.org/index.php/topic,38692.msg200040.html

Darüber haben mir viele weitere Beiträge wertvolle Tipps gegeben, deren Quellen ich jedoch nicht mehr wiederfinde.

Zwei Bücher will ich auch nicht unerwähnt lassen:
http://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/0979034280/ref=sr_1_1?ie=UTF8&qid=1370899291&sr=8-1&keywords=pfsense
http://www.amazon.de/OpenVPN-kompakt-Thomas-Zeller/dp/3939316512/ref=sr_1_1?ie=UTF8&qid=1370899331&sr=8-1&keywords=openvpn+zeller
Ich habe beide Bücher gekauft.

Viel Freude beim Einlesen und Ausprobieren

Peter

Wexxler

Huhu,

ziemlich simple ist ein IPSec Tunnel zu konfigurieren und herzustellen für Smartphones (mitgelieferte Software oder VPNCilla) und Windows Clients (ShrewSoft VPN Client).
Einen VPN Client für Debian kenne ich leider so nicht.

Hier findest du eine kurze, gute Anleitung für IPSec Tunnel zwischen einer pfsense und Smartphones - Das Setup funktioniert auch für Windows Clients mit der entsprechenden Konfig.

http://doc.pfsense.org/index.php/Mobile_IPsec_on_2.0

LG
Chris

orcape

Hi schinkenimitat,

hier mal ein Link zu einem OpenVPN-Tutorial…..
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-wrt-router-oder-pfsense-firewall-123285.html
….ist eigentlich recht simpel einzurichten.

Gruß orcape

tpf

Ich würde OpenVPN empfehlen. Ich habe statische und dynamische Tunnel seit Monaten im Einsatz und bin hoch zufrieden. Man ist sehr flexibel was das NAT betrifft. Der ClientExporter und die Benutzerverwaltung machen einem das Leben echt leicht.

PPTP gilt als kompromittiert.

pvoigt

@tpf:

Ich würde OpenVPN empfehlen. Ich habe statische und dynamische Tunnel seit Monaten im Einsatz und bin hoch zufrieden. Man ist sehr flexibel was das NAT betrifft. Der ClientExporter und die Benutzerverwaltung machen einem das Leben echt leicht.

PPTP gilt als kompromittiert.

Hallo tpf,
ich freue mich, dass du OpenVPN als ebenso flexibel und einfach empfindest wie ich. Was meinst du mit "dynamische Tunnel"? Ich kenne mich sicher nicht besonders gut mit OpenVPN aus, aber mit dem Begriff kann ich so nichts anfangen. Für mein Tunnel-Device bei meinem OpenVPN-Server habe ich fest (statisch) ein Netzwerk angeben müssen. Geht das auch dynamisch oder habe ich etwas falsch verstanden?

Zu PPTP: Dass PPTP als unsicher gilt, habe ich auch mehrfach gelesen. Soweit ich es verstanden habe, liegt es am MS-CHAP v2. Was ich noch nicht verstanden habe ist, ob PPTP zwangsläufig mit MS-CHAP v2 verwendet werden kann. Kann man bei PPTP nicht auch das Authentifizierungsverfahren einstellen wie bei OpenVPN?

Peter

orcape

Hi,

Ich habe statische und dynamische Tunnel

Ich gehe mal davon aus, das "tpf" damit die statische bzw. dynamische IP des WAN meint, die vom Provider vergeben wird.
Wobei letztere dynamisch per dyndns zur "statischen IP wird".
Ansonsten kann ich OpenVPN ebenfalls nur empfehlen. Auch ich habe seit Monaten mehrere Tunnel am laufen.
Selbst über UMTS kein Thema.

Gruß orcape

pvoigt

@orcape:

Hi,

Ich habe statische und dynamische Tunnel

Ich gehe mal davon aus, das "tpf" damit die statische bzw. dynamische IP des WAN meint, die vom Provider vergeben wird.
Wobei letztere dynamisch per dyndns zur "statischen IP wird".

Gruß orcape

Hallo orcape,

das erscheint zumindest plauibel - dank dir. In diesem Sinne würde ich dann ja einen "dynamischen Tunnel" betreiben :), da die WAN-Adresse bei mir auch dynamisch vom Provider zugewiesen wird.

Peter

JeGr

Hallo beisammen,

ich gehe eher davon aus, dass Kollege tpf das mein, was man mitunter als 1:1 Tunnel (statisch) und Roadwarrior (dynamisch) bezeichnet. Dass das Ende der Tunnel immer gleich ist (die pfSense) ist natürlich gegeben, aber bei einem 1:1 static tunnel ist die Gegenstelle es ebenfalls (meist Netz zu Netz Tunnel um bspw. Firmennetz mit Außenstellennetz zu verbinden). Mit einem dynamischen Ende ist (bei uns) meist ein "Roadwarrior" gemeint, also ein Client (kein Netz!), der sich aus verschiendenen Netzen (GPRS, UMTS, WLAN, Heim-LAN) einloggt. Also meist ein Laptop/Smartphone/Tablet, welches herumgetragen wird.

Grüßend
Jens

pvoigt

@JeGr:

Hallo beisammen,

ich gehe eher davon aus, dass Kollege tpf das mein, was man mitunter als 1:1 Tunnel (statisch) und Roadwarrior (dynamisch) bezeichnet. Dass das Ende der Tunnel immer gleich ist (die pfSense) ist natürlich gegeben, aber bei einem 1:1 static tunnel ist die Gegenstelle es ebenfalls (meist Netz zu Netz Tunnel um bspw. Firmennetz mit Außenstellennetz zu verbinden). Mit einem dynamischen Ende ist (bei uns) meist ein "Roadwarrior" gemeint, also ein Client (kein Netz!), der sich aus verschiendenen Netzen (GPRS, UMTS, WLAN, Heim-LAN) einloggt. Also meist ein Laptop/Smartphone/Tablet, welches herumgetragen wird.

Grüßend
Jens

Hallo Jens,

ja das hört sich genau so plausibel an. Wäre interessant zu hören, was tpf gemeint hat :).

Gibt es keinen, der meine Frage zu PPTP und Authentifizierung beantworten kann. Ich würde mich auch über einen Link zum Selbststudim freuen, ohne gleich zum Experten werden zu müssen.

Peter

JeGr

Hallo Peter,

Vergiß PPTP. Streiche es einfach aus deiner Liste. Zitat hierzu:

-> PPTP is (as of Oct 2012) considered cryptographically broken and its use is no longer recommended by Microsoft.

Davon abgesehen, dass die MS Implementierung von PPTP schon mehrfachen Angriffsvektoren ausgesetzt war, ist es nicht alleine das MS-CHAP2. Es gibt m.W. kein Authentifizierungsverfahren mehr von PPTP, welches cryptographisch noch als Verschlüsselung gelten würde. MS-CHAP1, 2, MPPE (RC4) - alle broken. Einzig EAP-TLS wäre noch OK, aber das wird kaum unterstützt und verlangt eh eine PKI hintendran. Da kann man sich das auch sparen und gleich OVPN nehmen.

Selbst die neue 2.1er Version von pfSense sagt es in einem Tooltip über der Konfiguration:

PPTP is no longer considered a secure VPN technology because it relies upon MS-CHAPv2 which has been compromised. If you continue to use PPTP be aware that intercepted traffic can be decrypted by a third party, so it should be considered unencrypted. We advise migrating to another VPN type such as OpenVPN or IPsec.

Gruß Jens

pvoigt

@JeGr:

Hallo Peter,

Vergiß PPTP. Streiche es einfach aus deiner Liste. Zitat hierzu:

-> PPTP is (as of Oct 2012) considered cryptographically broken and its use is no longer recommended by Microsoft.

Davon abgesehen, dass die MS Implementierung von PPTP schon mehrfachen Angriffsvektoren ausgesetzt war, ist es nicht alleine das MS-CHAP2. Es gibt m.W. kein Authentifizierungsverfahren mehr von PPTP, welches cryptographisch noch als Verschlüsselung gelten würde. MS-CHAP1, 2, MPPE (RC4) - alle broken.

Gruß Jens

Dank dir für deine Warnung, Jens. Ich wollte ja nur lernen und auf keinen Fall PPTP einsetzen. Ich bin von OpenVPN sehr begeistert, weil es sicher und flexibel ist. Im Übrigen: MS hat sich bislang noch nie dadurch hervorgetan, dass es sich mit Sicherheitstechniken gut auskennen würde. Ich erinnere nur an den Skandal mit den Update-Servern: MS schien ja eher überrascht zu sein, dass MD5 zu Kollisionen führt :)

Mit besten Grüßen
Peter

EDIT: Ah, habe EAP-TLS gerade gelesen - das ginge auch. Bin großer Freund davon. Ich verwende OpenVPN auch mit zertifikatsbasierter Authentifizierung, und auch mein FreeRadius-Server nutzt EAP-TLS. Die PKI ist also vorhanden, die ist im Laufe der Jahre fast zwanglos entstanden - wahrscheinlich nicht unbedingt professionell und optimal, aber für mich reicht es.
Trotzdem lasse ich in jedem Fall die Finger von PPTP.

JeGr

Also wenn OffTopic dann richtig :D

EAP-TLS haben wir bspw. auch für die Authentifikation an WLAN APs über Radius im Einsatz, da klappt das auch. Allerdings gestehe ich, dass ich noch nie gesehen hätte, dass es jemand in Verbindung mit PPTP betreibt.

Aber um auch wieder OnTopic zu werden:

Das größte Problem bei den ganzen VPN Techniken war eigentlich bislang eher, dass:

1. OpenVPN so schön einfach gewesen war (konfigurationstechnisch und auch in der Art der Funktion: 1 Port und gut), allerdings ein Sack voll Endgeräte (unter anderem alles was Apple heißt) da Probleme mit hatte (bzw. die iDevices es schlicht nicht unterstützten).
2. Gerade mit Apple Devices es dann hieß entweder PPTP (blörk!), L2TP oder dann gleich (Cisco) IPSEC. L2TP bzw. IPSec sind dann auch nicht gerade die trivialsten VPN Arten bei der Einrichtung und gerade mit den Gegenstellen, Phasen und verschiedenen Optionen der Verschlüsselung, Hash-Verfahren etc. etc. waren viele einfach überfordert.

Da es jetzt aber auch offiziell (endlich, nach wieviel Jahren?) auch Apple geschafft hat, sein System soweit zu öffnen, dass es die OpenVPN Mädels und Jungs hin bekommen haben, ihr VPN zum Laufen zu bekommen, gibts jetzt eigentlich keine Ausrede mehr gegen OpenVPN. :)

In vielen Firmen setzt man trotzdem bei Tunneln (1:1 Verbindungen von ganzen Netzen) noch auf IPSEC, weil oftmals kommerzielle Boxen im Spiel sind, gerade Einwahl-VPNs (Roadwarrior setups) oder günstigere Alternativen sind heute aber eher SSL VPNs mit proprietärer Lösung (Juniper/Cisco etc.) oder OpenVPN.

Sanfte Grüße ;)
Jens

tpf

Servus,

verzeiht mir die späte Rückmeldung, ich war urlauben  ;D

Dynamische Tunnel sind, wie bereits richtig vermutet, die Tunnel der mobilen Gerätschaften unterwegs. Mit statischem Tunnel ist die dauerhafte Verbindung mehrerer Standorte (site2site) gemeint. Statische / dynamische IP spielt ja dank DynDNS keine rolle mehr :-)

JeGr

Grüße Freund tpf,

Keine Vergebung notwendig, Urlaub entschuldigt alles :D

Grüßend
Jens

pvoigt

@tpf:

Servus,

verzeiht mir die späte Rückmeldung, ich war urlauben  ;D

Urlaub ist wichtig :) und ich freue mich, dass die Begrifflichkeiten geklärt werden konnten. Mich würde interessieren, ob "schinkenimitat" schon seine VPN-Implementierung gewählt und mit der Installation begonnen hat. Nach Threaderöffnung ist er/sie sich nicht mehr gemeldet.

Peter