Welcher VPN-Server

[raphi]

Hallo,

ich wollte mal fragen welche VPN-Server ihr so verwendet weil das Protokoll PPTP ja nicht mehr sicher sein soll, desweitern wollte ich einen Server mit dem ich mich ganz normal mit Benutzername und Passwort einloggen kann, aber auch Keys unterstützt.

Danke schonmal jetzt.

LG
Raphi

[syssi]

Das Protokoll "PPTP" gilt als veraltet und nicht empfehlenswert. Sollten deine Clients ausschliesslich PPTP sprechen, dann kommst du vermutlich nicht drum herum. Ansonsten bist du mit OpenVPN besser beraten.

[uname]

Wie viele Clients, wie viele Server, welche Anwendungen? Selbst OpenVPN kann schnell überdimensioniert sein. Vielleicht reicht schon SSH-Local-Port-Forwarding, ein SSH-Tunnel oder ein SSL-VPN.

[raphi]

Das soll für eine Firma sein so ca. 25 Computer und noch die Handys.
bzw. ein SSH-Tunel und SSL-VPN ? was genau ist da der unterschied ?

Danke schonmal

[uname]

Bei so vielen Anschlüssen würde ich schon ordentliches z.B. OpenVPN inkl. Zertifikate nutzen. Achte im ersten Schritt darauf welche Software von den Smartphones überhaupt unterstützt wird. Es gibt im übrigen auch VPN-fähige DSL-Router. Vielleicht wäre das eine bessere Alternative.
SSL-VPN sind nach meiner Vorstellung Anwendungen, die über reines SSL (z.B. Browser) freigegeben werden. Z.B. könnte man auf einen SSL-Webserver (Gateway) z.B. Glype oder OpenVPN ALS laufen lassen und im Intranet dann die webbasierte unverschlüsselte Anwendung. Gibt bessere Lösungen, sollen nur Beispiele sein, die ich keinesfalls im Firmenumfeld einsetzen würde. Auch hierfür gibt es Kauflösungen.

[Colttt]

SSL-VPN ehm macht das nicht open-vpn so?

zu den Smartphones, alles was Android hat und version >= 4.0 dan geht OpenVPN super und ist einfach ein zu richten

[uname]

OpenVPN nutzt als Basis auch SSL. OpenVPN nutzt Routing (TUN) bzw. Bridging (TAP). SSL-VPN ist eher für Clients, die diese virtuellen Devices nicht haben (z.B. Client mit Browser). Zumindestens habe ich es in etwa so verstanden.

[slu]

Hallo,

ich wollte mal fragen welche VPN-Server ihr so verwendet weil das Protokoll PPTP ja nicht mehr sicher sein soll, desweitern wollte ich einen Server mit dem ich mich ganz normal mit Benutzername und Passwort einloggen kann, aber auch Keys unterstützt.

Könnte man schön mit einer pfSense lösen wenn es eine GUI haben soll.

[raphi]

So also erstmal danke für die ganzen hilfreichen Beiträge,

also ich würde dann auch zu openvpn tendieren.
Aber nun die Frage kennt einer ein Webinterface dazu bzw. die man sich das leichter machen könnte ?
Und kennt einer ein gutes Tut wo man auch sieht wie man mehrere User anlegt, weil ich keins gefunden habe.
Ich habe mir den VPN-Client mal runtergeladen da kann man ja auch den Server eingeben und dann Benutzer/Passwort muss man das immer dann ich den config Ordner kopieren ?

LG
Raphi

[Colttt]

Wie gesagt pfsense oder ipfire, sind beides firewalllösungen wo man auch openvpn einrichten kann..

So wie di einen user einrichtest, Richtfest du auch die anderen ein, oder wie meinst du das?

[Cae]

Weil's noch nicht genannt wurde: tinc ist eine nettte VPN-Software. Kann ich nur empfehlen. Leichter zu konfigurieren als OpenVPN, insbesondere wenn man Zertifikate einsetzen will, ohne gleich die komplette OpenSSL-CA-Infrastruktur aufzufahren.

Und man will Zertifikate anstatt von pre shared keys einsetzen, um perfect forward secrecy zu haben. Andernfalls kann Eve den kompletten Traffic passiv mitschneiden, irgendwann von einem Geraet (oder aus dem Backup) den pre shared key klauen und damit saemtliche Daten entschluesseln. Eve scheint zur Zeit eine Behoerde mit drei Grossbuchstaben sein, wie zur Zeit in den Nachrichten berichtet wird...

Falls die Mobiltelefone keinen Tinc- oder OpenVPN-Daemon haben, solltest du vielleicht einen eigenen Server fuer deren Hinzkurt-VPN aufsetzen und fuer die ernstzunehemenden Clients auch ein ernstzunehmendes VPN verwenden.

Gruss Cae

[r4pt0r]

Weil's noch nicht genannt wurde: tinc ist eine nettte VPN-Software. Kann ich nur empfehlen. Leichter zu konfigurieren als OpenVPN, insbesondere wenn man Zertifikate einsetzen will, ohne gleich die komplette OpenSSL-CA-Infrastruktur aufzufahren.

Und man will Zertifikate anstatt von pre shared keys einsetzen, um perfect forward secrecy zu haben. Andernfalls kann Eve den kompletten Traffic passiv mitschneiden, irgendwann von einem Geraet (oder aus dem Backup) den pre shared key klauen und damit saemtliche Daten entschluesseln. Eve scheint zur Zeit eine Behoerde mit drei Grossbuchstaben sein, wie zur Zeit in den Nachrichten berichtet wird...

Falls die Mobiltelefone keinen Tinc- oder OpenVPN-Daemon haben, solltest du vielleicht einen eigenen Server fuer deren Hinzkurt-VPN aufsetzen und fuer die ernstzunehemenden Clients auch ein ernstzunehmendes VPN verwenden.

Gruss Cae

Tinc hat IMHO seine stärken vor allem in der Mesh-struktur. Man hat keinen master-server über den der gesamte Traffic läuft - bei Konfigurationen mit mehreren Servern an unterschiedlichen Standorten kann Tinc immer die schnellste/kürzeste Route wählen. Das führt bei uns teilweise sogar dazu, dass längere routen (mehr hops) gewählt werden, weil die umsetzung zwischen LTE und Kabelnetz mal wieder langsamer ist als der Umweg über das Glasfasernetz in dem der dritte server hängt...
Gerade mit vielen "Müllclients" (Android, am besten mit jeder verfügbaren Taschenlampenapp die auf Kontakte zugreifen will...) würde ich diese aber auf keinen Fall in dieses Netz holen, sondern Tinc rein als Standortvernetzung zwischen gateways nutzen. Zumal die Konfiguration schnell haarig werden kann wenn es zu viele (wechselnde!) Clients gibt...
Für Mobilgeräte und anderes Gerümpel kann man separat einen OpenVPN-Server aufsetzen, so kann man diese auch deutlich einfacher gezielt in ein anderes Subnetz, VLAN o.ä. stecken und vereinfacht sich auch das Firewalling wenn diese über ein anderes Interface verbinden. Zudem ist die Verwaltung einfacher: z.B. lassen sich neue routen o.ä. direkt am Server ändern und die clients holen sich die neuen Einstellungen. Bei tinc müssen die "up"-scripte ausgetauscht werden.

[hugediggs]

Bei mir steht auch die Installation eines VPN-Server an. Meine Bedürfnisse:
- 4 Clients (je 2 Smartphones und Notebooks)
- Nutzung des Heimat-DSL und vielleicht Zugriff auf Raspberry Pi
- laufen soll es später auf OpenWRT

Wenn ich den Thread des TS torpediere, dann mache ich auch gern einen neuen Thread auf, aber thematisch passt das ganz gut.

[debi14]

Wie gesagt pfsense oder ipfire, sind beides firewalllösungen wo man auch openvpn einrichten kann..

So wie di einen user einrichtest, Richtfest du auch die anderen ein, oder wie meinst du das?

pfsense ist perfekt für deinen Anwendungszweck...uppps sehe gerade dass dein Beitrag schon ein Jahr ist