OpenVPN Server & Win10 als mit Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterstützt [Gelöst]

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

OpenVPN Server & Win10 als mit Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterstützt [Gelöst]

Beitrag von jmar83 » 26.08.2022 17:57:39

Hallo zusammen

Kennt sich hier jemand mit OpenVPN aus? Ältere Beiträge sagen aus, dass man unter Windows einen eigenen (fremdem) (Open)VPN-Client haben muss. Weiss jemand, wie es aktuell aussieht?

Diesbezüglich müsste der OpenVPN-Server PPTP oder L2TIP oder IPsec oder SSTP oder IKEv2 unterstützen...

Besten Dank für die Feedback(s)... :-)

Bild
Zuletzt geändert von jmar83 am 05.09.2022 11:16:29, insgesamt 1-mal geändert.
Freundliche Grüsse, Jan

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von bluestar » 26.08.2022 18:43:15

jmar83 hat geschrieben: ↑ zum Beitrag ↑
26.08.2022 17:57:39
Kennt sich hier jemand mit OpenVPN aus?
Ja
jmar83 hat geschrieben: ↑ zum Beitrag ↑
26.08.2022 17:57:39
Ältere Beiträge sagen aus, dass man unter Windows einen eigenen (fremdem) (Open)VPN-Client haben muss. Weiss jemand, wie es aktuell aussieht?
Ja das ist nach wie vor so. OpenVPN ist nunmal OpenVPN.
jmar83 hat geschrieben: ↑ zum Beitrag ↑
26.08.2022 17:57:39
Diesbezüglich müsste der OpenVPN-Server PPTP oder L2TIP oder IPsec oder SSTP oder IKEv2 unterstützen...
Kann OpenVPN jedoch alles nicht.

Frag doch einfach mal bei MS an, warum sie keinen nativen OpenVPN-Client in ihr Produkt einbauen.

Alternativ kannst du auch mit xl2tpd und strongswan einen IPSEC Server unter Linux bauen, das hat jedoch mit OpenVPN null zu tun.

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 26.08.2022 19:40:20

Vielen Dank für dein schnelles Feedback.

"Ja das ist nach wie vor so. OpenVPN ist nunmal OpenVPN."

Habe ich mir doch irgendwie gedacht...
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 29.08.2022 11:01:27

-> Nicht übel: https://github.com/hwdsl2/setup-ipsec-vpn

...wobei ich wissen möchte wie man bei L2TP auf den "Preshared Key" verzichtet und bei IKEv2 auf irgendwelche Schlüssel-Files. Bei IKEv2 weiss ich von meinem VPN-Provider dass es AUCH ohne irgendwelche Schlüssel-Files geht.

Muss das Zeugs irgendwie so hinbiegen, dass

1.) Nur Benutzername & Kennwort gefordert wird
SOWIE
2.) Man mit den Bord-Tools von Windows verbinden kann


FRAGE: Weiss evtl. jemand was zum "SSTP"-Protokoll? Ist scheinbar sicherer als P2TP/IPSec, aber etwas weniger sicher als IKEv2... ist das vollständig proprietär, so wie's aussieht?
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 29.08.2022 11:03:18

Betr. "SSTP": Wurde wohl (noch) nicht reverse-engineered?
-> https://de.wikipedia.org/wiki/Secure_So ... g_Protocol
Freundliche Grüsse, Jan

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von bluestar » 29.08.2022 11:23:04

jmar83 hat geschrieben: ↑ zum Beitrag ↑
29.08.2022 11:01:27
...wobei ich wissen möchte wie man bei L2TP auf den "Preshared Key" verzichtet und bei IKEv2 auf irgendwelche Schlüssel-Files. Bei IKEv2 weiss ich von meinem VPN-Provider dass es AUCH ohne irgendwelche Schlüssel-Files geht.
Bahnhof!?

jmar83 hat geschrieben: ↑ zum Beitrag ↑
29.08.2022 11:01:27
Muss das Zeugs irgendwie so hinbiegen, dass

1.) Nur Benutzername & Kennwort gefordert wird
SOWIE
2.) Man mit den Bord-Tools von Windows verbinden kann
Geht beides, mit IKEv2, ich poste dir nachfolgend meinen Wiki-Artikel:

Für den IKEv2 Server wird folgendes an Software benötigt:
* strongswan
* libcharon-extra-plugins

/etc/ipsec.secrets

Code: Alles auswählen

# Private Schlüssel für Zertifikat
 : RSA vpn.example.com.pem
 user : EAP "very-top-secret-password"
/etc/ipsec.conf:

Code: Alles auswählen

conn IKEv2
        fragmentation = yes
        keyexchange = ikev2
        reauth = no
        forceencaps = no
        mobike = no
        rekey = no
        installpolicy = yes
        type = tunnel
        dpdaction = clear
        dpddelay = 10s
        dpdtimeout = 60s
        auto = add
        left = <public listen ip>
        right = %any
        leftid = vpn.example.com
        ikelifetime = 28800s
        lifetime = 3600s
        rightsourceip = 192.168.22.0/28
        rightdns = 192.168.20.1
        ike = aes256-sha256-modp2048,aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
        esp = aes256-sha1,aes256-sha256!
        eap_identity = %any
        leftauth = pubkey
        rightauth = eap-mschapv2
        leftcert = vpn.example.com.crt
        leftsendcert = always
        leftsubnet = 0.0.0.0/0
Installierte Dateien
/etc/ipsec.d/cacerts/ca.pem -- Inhalt: DST Root CA X3
/etc/ipsec.d/cacerts/intern1.pem -- Inhalt: Let's Encrypt Authority X3
/etc/ipsec.d/certs/vpn.example.com.crt -- Inhalt: Zertifikat für Host
/etc/ipsec.d/private/vpn.example.com.pem -- Inhalt: privater Schlüssel
Zuletzt geändert von bluestar am 29.08.2022 13:14:40, insgesamt 1-mal geändert.

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 29.08.2022 12:49:57

Vielen Dank!! :-) :D
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 29.08.2022 16:02:38

Ebenfalls interessant, unterstützt auch SSTP: https://cloudinfrastructureservices.co. ... ntu-20-04/

Zu meinem vorherigen Anliegen: Wenn man den "Preshared Key" bei L2TP/IPSec entfernt, so scheint Benutzername + Kennwort nur für die Auth zu gelten... aber die Connection ist dann nicht verschlüsselt, wie ich soeben las. De facto unbrauchbar ohne PSK... dass sich beide Seiten einen Zufallsschlüssel aushandeln (vergl. Diffie-Hellman-Algo) - sowas scheint es dabei nicht zu geben...(?)
Freundliche Grüsse, Jan

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von bluestar » 29.08.2022 16:17:28

jmar83 hat geschrieben: ↑ zum Beitrag ↑
29.08.2022 16:02:38
Ebenfalls interessant, unterstützt auch SSTP: https://cloudinfrastructureservices.co. ... ntu-20-04/
Davon hatte ich auch schon mal gehört, ist allerdings ein ganz schöner Exot... Für mein Empfinden kann das Ding zu viel um gleichzeitig sicher und vertrauenswürdig zu sein.

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 30.08.2022 09:09:29

Danke für dein Feedback!! :-)
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 30.08.2022 09:44:28

Da es eigentlich immer schnell gehen muss.... In der Firma, in der ich arbeite, ist es einzig wichtig dass es a.) schnell installiert / konfiguriert / aufgesetzt ist, dann b.) einfach bedienbar sowie c.) für ne "gewisse" Zeit verhebt, ohne dass man ständig wieder updaten muss aufgrund irgendwelcher Inkompatibilitäten und so... High-Security ist somit KEIN Thema...

Ist halt so, davon kann man halten was man will. Und wenn ich ein Produkt von einer rel. bekannten Firma ("SoftEther"), so kann mir letztendlich niemand was unterstellen - völlig unmöglich! :mrgreen:
Zuletzt geändert von jmar83 am 30.08.2022 09:49:21, insgesamt 1-mal geändert.
Freundliche Grüsse, Jan


Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von bluestar » 30.08.2022 09:59:02

Wir haben uns auf Wireguard als VPN-Lösung entschieden. Damit bilden wir sowohl Site-2-Site als auch unsere Roadwarrior-Verbindungen ab. Es gilt auch nicht länger der Grundsatz ein VPN pro User, sondern ein VPN per Device.

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 30.08.2022 10:42:42

Das ist sicher auch eine gute Lösung, danke für den Hinweis - bei uns soll's, vorerst, einfach mal nur "simpel" sein - d.h. mit Username & Password sowie über die Win10-Bordmittel verbindbar. Wenn damit aber auch eine hochsichere Verschlüsselung (irgendwie) machbar ist - sofort, da sagt natürlich keiner "nein" dazu... :-)
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 30.08.2022 11:32:56

Habe mal noch beim Hersteller nachgefragt, wie man es (ggf.!) konfigurieren kann, wenn man bei Window$ 10 nicht "L2TP/IPSec" mit einem "Preshared Key" verwenden will (gem. dem Hersteller gibt es bei diesen Linux-Implementierungen keine Möglichkeit, den PSK auszuhebeln; aber eine unverschlüsselte Verbindung ist dann noch nicht gerade das "gelbe vom Ei"!! - Klar.)

Nun versuche ich mal abzuklären, wie man IKEv2 OHNE Schlüssel-Dateien, also nur mit Benutzernamen & Kennwort, aufsetzt. (Aktuell sehe ich leider keine "conn IKEv2" mit Name-/Value-Pairs in der Datei /etc/ipsec.conf file... man muss es wohl erst konfigurieren. (Am Schluss vom Setup wird sowas angetönt, ob man noch IKEv2 konfigurieren will, wie ich bei der GitHub-Issue schrieb... nur sind alle Anleitungen von https://github.com/hwdsl2/setup-ipsec-vpn auf irgendwelche Keyfiles & Zertifikate ausgelegt)


Dass IKEv2 irgendwie funktioniert "nur" mit Benutzernamen & Kennwort ist für mich klar, weiss ich von meinem eigenen VPN-Provider - bei dem ich früher "SSTP" (ebenfalls "nur" mit Benutzername & Kennwort) verwendet habe und nun "IKEv2".

-> https://github.com/hwdsl2/setup-ipsec-vpn/issues/1221

Was diese Linux-Lösung nicht unterstützt, ist evtl. die Option "Datenverschlüsselung: Maximale" - sondern nur "Datenverschlüsselung: Erforderlich" (zumindest ist das beim aktuell aufgebauten Konstrukt mit "L2TP/Ipsec" sowie dem Preshared Key der Fall... "Maximal" wird dort nicht akzeptiert - nur "Erforderlich"...

Diese ganzen VPN-Themen sind komplettes Neuland für mich, wusste nicht mal das VPN auf dem Server, auf dem es installiert ist, sowas wie ein NAT macht... :-) (Server: 192.168.1.25, aber die Clients bekommen dann was mit 192.168.42.x... keine Ahnung wie die auf 42 kommen, aber das liesse sich wohl anpassen wenn man will)
Freundliche Grüsse, Jan

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von bluestar » 30.08.2022 11:43:43

jmar83 hat geschrieben: ↑ zum Beitrag ↑
30.08.2022 11:32:56
Nun versuche ich mal abzuklären, wie man IKEv2 OHNE Schlüssel-Dateien, also nur mit Benutzernamen & Kennwort, aufsetzt.
Ich habe dir den komplette Konfiguration-Abschnitt für die ipsec.conf inkl. weiterer Hinweise gepostet, der Server nutzt ein SSL-Zertifikat um seine Identität gegenüber dem Client zu beweisen. Das SSL Zertifikat für den VPN Server kannst du kostenfrei bei LetsEncrypt beziehen, auf dem Client brauchst du dann nur noch den VPN-Typ: IKEv2, Servername: vpn.example.com, Benutzername: xxx, Passwort: yyy und kannst dich verbinden.

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 30.08.2022 14:17:33

Vielen Dank, soweit alles klar, ich denke das wird schon funktionieren mit "setup-ipsec-vpn"... dachte nur mal noch kurz bei GitHub nachzufragen, wieso keine solche Sektion drin ist. Liegt wohl, wie bereits geschrieben, daran dass ich nach dem Abschuss der Installation keinen weiteren IKEv2-Konfigurationsvorgang in die Wege leite. (?)

Werde dann dein Beispiel einfach mal ins Config-File einfügen u. den Dienst neu starten :THX: :THX: :THX: - sobald ich die Zeit dafür habe, wohl von zuhause aus da mich dieses Thema interessiert und ich gerne bereit bin, es kostenlos (ohne Überstunden zu verrechnen) anzuschauen. Gute Schnittmenge zwischen privaten Interessen & den Interessen der Firma. So soll's sein - im Idealfall zumindest. :-)
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: OpenVPN Server & Win10 als Client, allerdings mit dem Windows-eigenen Client der PPTP,L2TIP/IPsec,SSTP,IKEv2 unterst

Beitrag von jmar83 » 31.08.2022 17:26:38

"SoftEther" schaue ich auch noch gerade an, Installation unter Debian war relativ easy (apt...), aber kaum startet man das Win-Admin-Tool fangen die Probleme an - "Remote Access VPN Server" ausgegraut. Scheinbar bin ich in etwa der Einzige weltweit, der dieses Problem hat... sagt mir zumindest die Text- wie auch die Bilder-Rückwärtssuche von Google & Yandex...

Bild

(Ganz ehrlich greift man da wohl besser zu einer Hardware-VPN-Gateway-Lösung... selbst wenn diese 5-stellig kostet, ist es im Endeffekt günstiger als das ganze Rumgegurke mit all dem Zeugs...)
Zuletzt geändert von jmar83 am 31.08.2022 17:32:09, insgesamt 1-mal geändert.
Freundliche Grüsse, Jan


Antworten