recht einfachen Sachen wie einer VPN von aussen auf mein LAN
Wer bist Du nochmal, dass Du in der Lage bist zu beurteilen, ob sowas "einfach" ist, oder nicht? Mit "einfach" hat sowas nämlich noch "lange" nix zu tun. Nur weil Dir die Hersteller schon möglichst viele Optionen "wegnehmen", heisst das ja noch lange nicht, dass sowas "einfach" ist. Kleines Beispiel dazu:
https://www.strongswan.org/
- implements both the IKEv1 and IKEv2 (RFC 7296) key exchange protocols
- Fully tested support of IPv6 IPsec tunnel and transport connections
- Dynamical IP address and interface update with IKEv2 MOBIKE (RFC 4555)
- Automatic insertion and deletion of IPsec-policy-based firewall rules
- NAT-Traversal via UDP encapsulation and port floating (RFC 3947)
- Support of IKEv2 message fragmentation (RFC 7383) to avoid issues with IP fragmentation
- Dead Peer Detection (DPD, RFC 3706) takes care of dangling tunnels
- Static virtual IPs and IKEv1 ModeConfig pull and push modes
- XAUTH server and client functionality on top of IKEv1 Main Mode authentication
- Virtual IP address pool managed by IKE daemon or SQL database
- Secure IKEv2 EAP user authentication (EAP-SIM, EAP-AKA, EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-MSCHAPv2, etc.)
- Optional relaying of EAP messages to AAA server via EAP-RADIUS plugin
- Support of IKEv2 Multiple Authentication Exchanges (RFC 4739)
- Authentication based on X.509 certificates or preshared keys
- Use of strong signature algorithms with Signature Authentication in IKEv2 (RFC 7427)
- Retrieval and local caching of Certificate Revocation Lists via HTTP or LDAP
- Full support of the Online Certificate Status Protocol (OCSP, RFC 2560).
- CA management (OCSP and CRL URIs, default LDAP server)
- Powerful IPsec policies based on wildcards or intermediate CAs
- Storage of RSA private keys and certificates on a smartcard (PKCS #11 interface) or protected by a TPM 2.0
- Modular plugins for crypto algorithms and relational database interfaces
- Support of NIST elliptic curve DH groups and ECDSA signatures and certificates (Suite B, RFC 4869)
- Support of X25519 elliptic curve DH group (RFC 8031) and Ed25519 signatures and certificates (RFC 8420)
- Optional built-in integrity and crypto tests for plugins and libraries
- Smooth Linux desktop integration via the strongSwan NetworkManager applet
- Trusted Network Connect compliant to PB-TNC (RFC 5793), PA-TNC (RFC 5792), PT-TLS (RFC 6876), PT-EAP (RFC 7171) and SWIMA for PA-TNC (RFC 8412)
Und das ist nur die "Übersicht". Mit wievielen dieser dort gelisteten Begriffen kannst Du etwas anfangen (schon mal gehört/gelesen, oder kannst sie sogar zuordnen)? Das Betrifft übrigens auch "nur" das IPsec-VPN...
Beim Thema VPN ist also "deutlich" mehr unter der Haube, als Hersteller wie Fritzbox und Synology Dich wissen lassen. Nur haben die eben schon eine "Vorauswahl" getroffen. Ist dann immer interessant, wenn es darum geht, eine der o.g. Lösungen mit einer völlig anderen zu verheiraten, denn dann steht man vor der großen Auswahl an Möglichkeiten (z.B. Cipher) und muss die richtigen Einstellungen vornehmen, damit es auch klappt.
Früher gab es z.B. von AVM ein mehrseitiges PDF wo alle möglichen Kombis draufstanden, mittlerweile finden sich die (sehr verschlankten) Angaben schon auf der Website:
Requirements / Restrictions
- The FRITZ!Box supports VPN connections according to the IPsec standard with ESP, IKEv1, and pre-shared keys. Authentication Header (AH) and Perfect Forward Security (PFS) are not supported.
- Supported IPSec algorithms for IKE phase 1:
- Encryption method: AES with 256, 192, 128 bit, Triple DES with 168 bit or DES with 56 bit
- Hash algorithms: SHA2-512, SHA1 or MD5-96
- The FRITZ!Box uses 1024-bit Diffie-Hellman initial key exchange (DH group 2). It then also accepts 768, 1536, 2048 and 3072 bit (DH groups 1, 5, 14, and 15).
- Supported IPSec algorithms for IKE phase 2:
- Encryption method: AES with 256, 192, 128 bit, Triple DES with 168 bit or DES with 56 bit
- Hash algorithms: SHA2-512, SHA1 or MD5-96
- The Diffie-Hellman group is determined by IKE phase 1
- Compression: none
Also wir merken uns: Nur weil wir wenig sehen und die Hersteller uns teils "massiv" einschränken, heisst das noch lange nicht, dass die Thematik als solche eine "einfache" wäre ?
Aber um Dich mal ein wenig in Schutz zu nehmen
@HHE3eich ... Es ist auch nicht ganz so leicht nachzuvollziehen ohne die Grundlagen. "Irgendwelche" Dinge funktionieren "irgendwie" (wieso weshalb warum... weiss der Geier, läuft doch!), dann hat man 1 Gerät Zuhause, da erzählt einer bei Youtube, dass man da ja gaaaaaaanz einfach so und so und dann ist alles ganz toll... jou.... gemacht - getan - nix geht. Und jetzt? Genau, jetzt ist der Zeitpunkt gekommen, wo all das - was man vorher einfach hat links liegen lassen - auf einmal dann doch relevant wird. Damit tun sich dann - je nach Thementiefe - auf einmal "Welten" auf und plötzlich ist das alles garnicht mehr so einfach und verständlich, wie es noch im Youtube-Video aussah. Da hageln Dinge auf einen ein, die hat man im Leben noch nie gehört. Die kann man auch nicht zuordnen und man fühlt sich irgendwie ziemlich allein gelassen und WENN einem geholfen wird, dann bleibt man doch meist trotzdem im Regen stehen, da man schon die Erklärungen wieder nicht richtig versteht. Ende vom Lied ist dann meist, dass man recht frustriert einfach aufgibt und den Krempel in die Ecke schmeisst.
Das "einzige" Problem (meiner Meinung nach) sind dabei allerdings die Hersteller(!). Deren primäre Ziel ist der "Verkauf". Also werden bunte Knöpfe dran gepackt, es (in Grundzügen) so einfach wie möglich gemacht und dann als supereinfache Lösung verkauft. Funktioniert ja auch in weiten Teilen! Sofern die "Gegebenheiten" auch passen... (wie will der Käufer das jetzt beurteilen können?).
Das ist dann ungefähr so, wie wenn ich Dir ein Auto verkaufe und Dir sage: "Automatik! Einfach den Start-Knopf drücken und Gas geben, bremsen links. Kannste bis nach Lummerland mit fahren! Da ist die Strasse und los geht's!" ... Du fährst los und fährst halt immer auf irgendwelchen Strassen.... eine Landkarte, Wegbeschreibung, Reserverrad, etc. hast Du nicht... auch hat Dir niemand gesagt, dass Du ggf. auch mal tanken musst und schon garnicht hat Dir irgendwer mal die Verkehrsregeln beigebracht.... Aber hey! Das Auto fährt fast von allein!
Und Du - ja genau Du! - sitzt jetzt in diesem Auto und fährst völlig planlos durch die Gegend auf der Suche nach Deinem Reiseziel... Lummerland...
Aber mal genug davon - sicher - die bunten Knöpfe machen vieles sehr viel einfacher (auch wenn auf eine sehr restriktive Art und Weise, aber damit werden die Benutzer dann wenigstens nicht überfordert) und so kann sich jeder ein Schnitzel in die Tasche freuen, wenn der Fileserver läuft, die Fotos organisiert werden können und und und ... das ist schliesslich Sinn und Zweck dieser "Umgestaltung". Wären wir noch immer bei "Shell-only" würden wohl von den Leuten hier vielleicht noch 20% (oder weniger) übrig bleiben. Wenn man die Youtube-Videos jetzt auch nochmal rausrechnet, bleiben vermutlich nur noch 2% übrig und 2%... das bringt einfach zu wenig Umsatz, also müssen die bunten Knöpfe (samt Einschränkungen) her.
Mit so einer Syno - Webserver - kein Problem! Nur hat sich vermutlich kaum einer die - mittlerweile total angeschwollene - Config eines Indianers (Apache) mal vollständig gegeben. Da wären die meisten dann nämlich auch wieder direkt raus...
Also in der Summe... Schönes Spielzeug für die weniger bedarften, nur stösst man dann leider auch als entsprechende Person ziemlich schnell an seine Grenzen, sofern das auch nur ein "bisschen" vom Pfad abweicht und genau das ist Dir halt passiert
@HHE3eich. Es gibt für "alles" irgendwelche Mittel, Wege und Lösungen, allerdings können die mitunter eben auch recht komplex ausfallen und sind ggf. auch nicht "mal eben auf Knopfdruck" realisiert.
Aus der Welt der "Konsumenten" dieser (massiv eingeschränkten) "Fertiglösungen" heraus, ist es dann natürlich auch ein leichtes zu sagen "sowas einfaches wie VPN", nur teile ich diese Ansicht eben nicht so ganz, dafür muss man nur einmal "kurz" hinter den Vorhang schauen... ?
So, nu ist aber jut... ?
