verschiedene VPN-Lösungen

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo,
    ich habe mal eine Frage an die Sicherheitsexperten ;)
    Bisher hatte ich für VPN Hotspot Shield, aber deren Server liegen ja vor interessierten Haustüren :-/

    Im Netz gibt es ja diverse Wege, den RasPi als VPN-Server zu nutzen. Probiert habe ich einmal die Lösung mit openVPN, wie sie z.B. Karesyk beschreibt und zum anderen die Lösung mit openswan, IPsec, l2tp und PPP, wie sie z.B. bei Sempervideo vorgestellt wird.

    Während die openVPN-Lösung wunderbar läuft, kämpfe ich seit einigen Stunden mit der anderen Lösung. Ich wollte sie einfach nur vergleichen. Also, sie sind auf zwei unterschiedlichen SD-Karten drauf, nicht gleichzeitig beide in einer Installation.

    Frage an die Experten. Welche Lösung ist sicherer oder vielleicht auch schneller beim Surfen. Für mich ist die zweite Lösung zumindest komplizierter. Bringt das wenigstens einen Mehrgewinn?

    Viele Grüße
    DocAdams

    1x RaspberryPi 2, 1x RaspberryPi 3, 1x OpenELEC, 1x RaspberryPi 4 mit ioBroker ,

  • Ich habe auch lieber "problemlose" Lösungen, zumal als Einsteiger auf diesem Gebiet :)

    Ist problemlos auch sicher? Ich hoffe es in dem Fall auch und sehe auch nicht schwarz.
    Und ich möchte auch keine Diskussion entfachen, "was ist sicher, heutzutage?" und so.

    Sind es nur zwei unterschiedliche, aber im Ergebnis gleichrangige, oder zumindest ähnliche, Philosophien oder gibt es doch gravierende Unterschiede?

    Wie gesagt, das können sicher nur die "Sicherheitsbeauftragten" unter uns beantworten oder wenigstens ein Statement äußern.

    Viele Grüße
    DocAdams

    1x RaspberryPi 2, 1x RaspberryPi 3, 1x OpenELEC, 1x RaspberryPi 4 mit ioBroker ,

  • Das verstehe ich jetzt nicht ganz.

    Meine momentane Situation ist diese: ich habe eine FB7170 und wollte diese jetzt (bald) durch eine FB7490 ersetzen.
    Seit ich den RasPi habe, ist dieser Anschaffungsdruck deutlich gesunken. Eigenlich locken mich jetzt nur noch die deutlich schnelleren LAN- und WLAN-Geschwindigkeiten. Aber dafür 300€ hinlegen? Da würde ich lieber noch warten, bis sich die Preise angepasst haben. Bei einer Neuanschaffung soll es aber andererseits schon ein "gutes Flaggschiff" sein, damit dann erst mal wieder ein paar Jahre Ruhe ist :)

    Also möchte ich schon die RasPi-Lösung wählen, zumal ich denke, dass sie deutlich flexibler ist. Auch wenn ich die durch meine momentan sehr beschränkten Fähigkeiten noch gar nicht so nutzen kann. Aber, ehrlich gesagt, vor ein par Monaten wusste ich noch nicht mal, was DLNA ist oder ob für mich eine private Cloud sinnvoll ist und Linux kannte ich auch nur vom HörenSagen.
    Der Hunger kommt manchmal erst beim Essen und ich habe noch einige Pläne und es stehen lange Winterabende bevor ;)

    Da ich eben nicht so in der Sicherheitsproblematik stehe, mache ich mir eher Sorgen, dass evtl. der dann etwas offene RasPi zum Einfallstor in mein restliches Netzwerk werden könnte. Darum die Nachfrage.

    EDIT: das war eben die Antwort auf Beitrag #5, ich hatte etwas lange gebraucht ...

    Viele Grüße
    DocAdams

    1x RaspberryPi 2, 1x RaspberryPi 3, 1x OpenELEC, 1x RaspberryPi 4 mit ioBroker ,

    Einmal editiert, zuletzt von docadams (14. November 2013 um 12:07)


  • ...
    Da ich eben nicht so in der Sicherheitsproblematik stehe, mache ich mir eher Sorgen, dass evtl. der dann etwas offene RasPi zum Einfallstor in mein restliches Netzwerk werden könnte. Darum die Nachfrage.

    Grundsätzlich sollte man sich in dem Moment, in dem man einen Server von aussen erreichbar macht (egal für welchen Dienst), schon Gedanken um einige Sicherheitsfragen machen.

    Als zumindest rudimentärer Schutzmechanismus bietet sich z.B. Fail2Ban an, der log-Dateien der diversen Server-Prozesse (ssh, Web-Server, openvpn, ...) auswertet und bei Zutreffen konfigurierbarer Regeln die Quell-IP (temporär) aussperrt.

  • Der grundlegende Unterschied zwischen OpenVPN und IPSec-basierten Lösungen ist, dass bei OpenVPN die Pakete niedrigerer Schichten (IP bis herunter zu Ethernet) in TCP-bzw. UDP-Pakete eingepackt werden, während bei IPSec IP-Pakete in IP-Pakete (mit neuen Headern) eingepackt werden. In der Praxis hat das die folgenden Konsequenzen:

    OpenVPN:
    - Konfiguration: relativ einfach
    - Performance: eher schlecht, da großer Overhead
    - Kompatibilität mit NAT (Fritzbox mit IPv4): gut

    IPSec:
    - Konfiguration: schwierig
    - Performance: gut, da geringer Overhead
    - Kompatibilität mit NAT (Fritzbox mit IPv4): schlecht bis gar nicht, da der Pi _hinter_ der Fritzbox mit NAT steht. Letzteres lässt sich nur mit IPv6 (kein NAT) umgehen (was in vielen Umgebungen nicht zur Verfügung steht).

    PPP und PPTP sind historisch, und häufig unsicher. L2TP ist eher MS-spezifisch, und auch schon tendenziell historisch. Da hätte ich auch schon eher Sicherheitsbedenken.

    Wenn ich richtig informiert bin, bietet die Fritzbox 7170 auch IPSec VPN (http://www.avm.de/de/Service/Ser…de_schritte.php). Das wäre meiner Meinung nach die beste Lösung: Du hast keine Probleme mit NAT (IPSec _ist_ in diesem Falle das NAT), und um die erforderlichen Portfreigaben kümmert sich auch die Fritzbox. Die Konfiguration auf der Windows-Seite ist zwar etwas hakelig, aber das wird durch die leistungsfähigste VPN-Variante gerechtfertigt, die Du in Deinem Netzwerk-Szenario bekommen kannst.

    Ansosnten, wennn das nicht klappt, würde ich bei OpenVPN bleiben, da Du damit keine IPSec-Probleme mit dem Pi _hinter_ der Fritzbox (NAT!) bekommst. Letzteres kann sehr ekelhaft werden.

    Bzgl. der Sicherheit ist wahrscheinlich auch die integrierte Fritzbox-Lösung die beste, da sowohl das VPN als auch die Box (mit den notwendigen Portfreigaben) von AVM gepflegt werden. Und das VPN sitzt dann direkt hinter der FB-Firewall (vom selben Hersteller), was potenzielle Problem verhindert. AVM hat einen recht guten Ruf in Bezug auf Security. Wenn Du Dich selbst um OpenVPN oder IPSec kümmern musst, wirst Du immer wieder mal die Konfiguration (z. B. Algorithmen) oder den Code (Vulnerabilities) updaten müssen, was sehr schnell nerven kann.

    Ich hoffe, das hilft ein bisschen...

  • Ja, sehr. :bravo2:

    Vielen Dank für den Überblick. Es wird wohl darauf hinauslaufen, dass doch bald eine neue FB angeschafft wird und so lange werde ich den RasPi für openVPN nutzen.

    openVPN ist also trotz "Einfachheit" nicht schlechter als andere Lösungen. Na das ist doch eine gute Nachricht :thumbs1:

    Viele Grüße
    DocAdams

    1x RaspberryPi 2, 1x RaspberryPi 3, 1x OpenELEC, 1x RaspberryPi 4 mit ioBroker ,

  • Hallo,
    Ich wollte auch ein VPN einrichten, und wollte gerne das so machen, wie die bei sempervideo.
    Jetzt habe ich ein Problem. Alles läuft gut bis zu dem befehl "aptitude install x12tpd".
    Könnte das davon kommen, das ich aus versehen bei dem Zertifikat "Nein" gewählt habe ?
    Naja hier ist das was mein Putty ausspuckt, wenn ich das durchlaufen lasse:


    root@raspberrypi:~# aptitude install openswan
    No packages will be installed, upgraded, or removed.
    0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
    Need to get 0 B of archives. After unpacking 0 B will be used.

    root@raspberrypi:~# nano /etc/ipsec.conf
    root@raspberrypi:~# aptitude install x12tpd
    Couldn't find any package whose name or description matched "x12tpd"
    Couldn't find any package whose name or description matched "x12tpd"
    No packages will be installed, upgraded, or removed.
    0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
    Need to get 0 B of archives. After unpacking 0 B will be used.

    root@raspberrypi:~#


    Danke schonmal für Hilfe.

    Gruß Kleinwulf


  • Evtl. willst Du xl2tpd und nicht x12tpd installieren:

    EDIT:

    Musst Du root sein?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (16. November 2013 um 12:37)

  • Hallo,
    danke erstmal für den Versuch, es hat leider nicht geklappt :/.
    Laut sempervideo schon. Hier die Meldung, ohne Rechtschreibfehler :D.

    apt-get -s install x12tpd
    Reading package lists... Done
    Building dependency tree
    Reading state information... Done
    E: Unable to locate package x12tpd

    Gruß Kleinwulf

  • Ich nehme an, es handelt sich um einen Tippfehler:
    Ein Paket names "x12tpd" (das "1" ist eine "eins") gibt es nicht, das Paket "xl2tpd" ("l" ist der Buchstabe "l") hingegen schon ;)

    Einmal editiert, zuletzt von miwie (17. November 2013 um 14:30)

  • Hallo nochmal,
    Ja du hattest recht ...
    Ich hatte auch wohl nicht richtig zugehört, ich habe das video grade noch einmal angeschaut, er sagt auch "l" nich "1" :D
    naja ich melde mich dann wieder wenn ich Probleme habe ;).
    Danke noch mal für die Hilfe
    Gruß Kleinwulf

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!