Hallo, da will ich auch mal meinen "Senf" dazu geben
Im professionellen Bereich, und damit meine ich die Intranetverbindungen von verschiedenen Behörden- oder mitunter auch Firmenstandorten, oder der
IVBB oder der Anschluss von Heimarbeitsplätzen und externen mobilen Endgeräten bei den o.g. Einrichtungen, erfolgt die verschlüsselte Verbindung ausnahmslos über so genannte VPN- oder Sicherheitsgateways. Das sind in Hochsicherheitsnetzen die SINA-Box (zugelassen bis "STRENG GEHEIM"!) oder Genugate (meines Wissens bis GEHEIM) oder schlimmstenfalls CISCO-Router (ich erinnere an die aktuellsten Enthüllungen ...) oder auch Checkpoint-VPN (die letzten beiden meines Wissens nur bis VS-NfD). Aber es sind immer Geräte, die ausschließlich als VPN-Gateway und mitunter auch noch als Firewall dienen. Mir ist auf dieser Ebene nie ein Server o.ä. begegnet, welcher "nebenbei" noch als VPN eingesetzt wurde.
=> Deswegen tendiere ich eindeutig zum Einsatz der Fritz-Box als VPN-Endpunkt! (Es sei denn, jemand von euch hat zufällig zwei SINA-Boxen herumzustehen.)
Dann gibt es zwei für VPN gängige Verfahren: IPsec und openVPN.
Und die alte und jetzt wieder ganz neue Frage des Vertrauens.
Im Unterschied zur erwähnten SINA-Box wurde wurde weder der Code von openVPN noch der der AVM-Implementation von IPsec aber auch nicht der von Synology (!) von externen Fachleuten evaluiert. Man spricht ja immer davon, dass der Quellcode von Open Source-Produkten "von der Community" analysiert wird. Es werden auch immer wieder Schwachstellen in wichtigen Bibliotheken wie openSSL gefunden und beseitigt. Aber ich habe nie ein Dokument gesehen, wo Personen oder Organisationen oder auch Firmen mit "Stempel und Unterschrift" bestätigt haben, dass dieses oder jenes Open Source-Produkt durch diejenigen evaluiert wurde und als "sicher" zu betrachten ist. Ich habe selbst an AVM einige klare Fragen nach dem Bekanntwerden bestimmter Schwachstellen im Rauschgenerator usw. gestellt, und zumindest immer klare und auch offizielle Antworten bekommen.
Ich gehe auch davon aus, dass die Frage der Sicherheit kryptologischer Anwendungen ansich, aber auch der Hardware auf denen diese Anwendungen laufen, völlig neu betrachtet werden muss. Wer hat schon geahnt, dass unsere amerikanischen "Freunde" in der Lage sind, im Interesse ihrer eigenen nationalen Sicherheit sogar Hardware zu manipulieren?. (BTW: bei TrueCrypt fängt "man" jetzt wirklich mit gründlichen Untersuchungen an.)
=> Meine Meinung also: ein Pat zwischen IPsec, openVPN und der jeweiligen Hardware, um der es hier geht. Zumindest so lange, bis wir es besser wissen.
Weiter zu IPsec und openVPN.
OpenVPN ist relativ einfach über einen Router ins eigene private Netz zu tunneln. Bei IPsec ist das selbstverständlich auch möglich, aber auf jeden Fall etwas komplizierter. Vereinfacht gesagt, es sind da mehrere Protokolle und Ports zu tunneln.
Diese Probleme treten nicht auf, wenn der VPN-Endpunkt direkt auf dem VPN-Gateway, also bei uns auf dem Router läuft! Egal ob IPsec oder openVPN (was aber auf der Fritz-Box Freetz erfordert - was auch für ONU weniger geeignet ist!), das VPN auf der Box bietet einen sauber definierten Zugang ohne Klimmzüge auf alle Geräte im internen Netz, auf denen dieses gewünscht ist.
=> Der Punkt geht IMHO an die Fritz-Box oder an andere dafür geeignete Router.
Handhabbarkeit:
Hier kann ich nur über langjährige eigene (private) Erfahrungen mit dem IPsec-VPN von AVM berichten. Nicht, dass ich mich nicht auch mit openVPN befasst hätte, aber ich bin doch wieder zum AVM-IPsec gegangen.
Ich betreibe auf meiner 7390 ggw. sieben verschiedene VPN:
- vom Linux-, Windows- oder auch Mac-Client über das VPN
nur ins eigene LAN, der andere Traffic wird direklt vom Client ins Internet geroutet. (Unter Linux wird der "Shrew-Client" genutzt)
- wie oben, aber
der gesamte Traffic einschließlich DNS wird über das VPN und den heimischen Internetzugang geroutet => Lösung für fremde WLAN-Zugänge, Hotspot usw.
- eine dauerhafte VPN-Verbindung zu einer anderen Fritz-Box ("Vater-Sohn-Netzwerk" ;-))
- drei Verbindungen von den Smartphones (Android, aber auch mit iDingern getestet) zu meiner oder wahlweise auch zur Box meines Sohnes, für sicheres Telefonieren via FRITZ App Fone oder Datenaustausch. Aller Traffic übers VPN.
- ein normalerweise ständig deaktivierter Testzugang für Leute, die das mal testen wollen. Einziger Unterschied: dort sind die PSK nicht 72 Byte lang, sondern "nur 12".
Alle VPN erhalten aus meinem Netz eine eigene IP, sind also gleichzeitig zu benutzen (und das wurde jahrelang erfolgreich durch Nutzung getestet!)
Jedes VPN hat einen eigenen, selbstverständlich regelmäßig gewechselten, langen PSK.
Der auf den Linux-Rechnern genutzte "Schrew-Client" ist einfach "nur" komfortabel und stabil. Den gibt es übrigens auch für die WinDOSe - durch mich aber mangels dieses Betriebssystems nie getestet.
Gleiches äußerst positives Urteil für die auf unseren Androiden genutzte VPN-App "VPNCilla". Ein klick auf das Widget, und das voreingestellte VPN steht. Und wenn ich will, kann ich auch jederzeit zwischen meinen drei "Handyfähigen" VPNs umschalten.
=> Macht das mal mit dem Syno-VPN nach ... .
Ich möchte abschließend auch noch etwas erwähnen, was mir am AVM-VPN nicht gefällt: Ich verwende wo möglich grundsätzlich X.509-Zertifikate (nein, nicht von irgend einem amerikanischen oder israelischen Trustcenter, sondern von meiner eigenen Privat-CA). Leider hat AVM bei seiner eigenen IPsec-Implementierung die Verwendung von X.509-Zertifikaten nicht vorgesehen. Es können also nur PSK genutzt werden. Denke aber bei 72 Byte dürfte das auch ausreichen ;-)
MfG Peter
