Synology vs FritzBox VPN

[süno42]

Weil die Diskussion so lebhaft ist, gebe ich auch noch mal meinen Senf dazu. Man sollte sich über eines im klaren sein. Einen Vergleich der beiden Varianten kann man nur unter bestimmten Vorannahmen treffen. Ob sich diese (später) als korrekt erweisen, sei dahingestellt.

In diesem Thread steht die Sicherheit im Vordergrund. Ich kann die Bedenken von DerIng verstehen und nachvollziehen. Allgemein läßt sich sagen, je später man vertrauenwürdige und nicht vertrauenswürdige Netzsegmente trennt, desto höher ist die Angriffsfläche (wobei dies auch eine Frage der getroffenen Vorannahmen ist). Daher ist meine Empfehlung, den Zugriffspunkt für das VPN möglichst nah am Endpunkt des Intranets zu plazieren. In diesem Fall die Fritzbox

Der zweite Punkt sind subjektive und objektive Sicherheit des Routers als auch der Diskstation. Schwachpunkte sind das fehlende Patchmanagement, um Sicherheitslücken – mit deren Auftreten muß man nun mal leben – zügig zu schließen. Hiervon sind beide Systeme gleichermaßen betroffen. Wirtschaftliche Risiken hinsichtlich Ausfall des VPNs aufgrund eines fehlerhaften Patches lasse ich mal außen vor, da dieses bei mir privat nicht gegeben ist.

Ich habe bereits einige Threads hinsichtlich Sicherheit der Diskstation eröffnet bzw. kommentiert. Meine Wahrnehmung ist, daß das Sicherheitswissen bei Synology nicht sonderlich ausgeprägt ist. Dies begründe ich damit, daß in der Webanwendung und einigen Skripten einfachste Anfängerfehler enthalten sind, welche die Sicherheit massiv gefährden. Weiterhin kommen Sicherheitspatches sehr spät.

Bei AVM konnte ich solche eklatanten Fehler bisher nicht feststellen, was natürlich keine Bescheinigung für Fehlerfreiheit ist. Die beiden VPN-Technologien (IPsec nativ und L2TP/IPsec) halte ich nach meinem Kenntnisstand für sicher (ohne Bewertung der Implementierung). Von PPTP kann ich in jedem Fall nur abraten. Unter diesen Aspekten und deren gegenseitige Abwägung fällt mein Urteil ganz klar auf das VPN der Fritzbox.

Zum Schluß noch ein in diesem Kontekt eher nebensächlicher Apekt, natives IPsec (Fritzbox) geht mit der verfügbaren Bandbreite etwas effizienter um als L2TP/IPsec (Diskstation).


Viele Grüße
Süno42

 

[süno42]

Ein Nachteil hat der VPN Dienst der Fritzbox jedoch, da hier nur das IPSec Protokoll zur Anwendung kommt, was nicht für jede Anwendung in Frage kommt. Dennoch halte ich dieses Protokoll für ausreichend sicher und nutze es guten Gewissens.

Wo siehst Du Probleme, daß es angeblich nicht für jede Anwendung in Frage kommt?

 

[Flori73]

hallo an alle,

die Ausführungen kann ich alle gut verstehen. Nun mal trotzdem an Rande gefragt, auch wenn Bedenken gegenüber kommerziellen Anbietern bestehen.
Was spricht dagegen einen Cisco oder ähnlichen Router zu kaufen ? Wenn Router von Internetprovidern geupdatet werden und konfiguriert werden, hätten sie auch die Möglichkeit sich an die Syno ranzumachen (theoretisch). Wenn ich eine weitere Hardware zwischen Router und Syno schalte, dann hab ich wenigstens dieses Bereich etwas mehr gesichert.

Grüße
Flori

 

[süno42]

Die Fritz-Firmware ist mir einigermassen suspekt, speziell der IPsec Teil. Die Firma bringt es ja nichtmal fertig, das Format der Konfigurationsdatei zu dokumentieren. Wenigstens kann man das mit der allerneuesten Firmware schon ohne Windoze Rechner einrichten - welch ein Fortschritt Ich sage jetzt nicht, dass das VPN der Fritzbox unsicher sein muss (die verwenden ja auch nur irgendeine bekannte Komponente), aber bei der Qualität der sonstigen Firmware würde ich mir nicht allzuviel davon erwarten.

In der Tat hat auch die Fritzbox noch an einigen Ecken und Enden Verbesserungspotenzial. AVM liefert nachträglich neue Funktionalität für bereits auf dem Markt befindliche Router nach. Dies habe ich bei anderen Herstellern noch nicht gesehen bzw. nur sehr eingeschränkt.

Warum ist Dir die Firmware suspekt, woran machst Du das fest? Was bemängelst Du genau an der Qualität der Firmware? Ich kann persönlich sagen, daß die Fritzbox bisher der ausgereifteste Router ist, den ich bisher hatte. Ich kann zumindest den Vergleich zu Zyxel, Lucent und Arcadyan ziehen.

Aber wenn das Ding angreifbar ist, kann der Angreifer mindestens den gesamten Internet-Verkehr mitlesen, das ist vermutlich sogar viel interessanter für einen Angreifer als die Urlaubsbildchen, Warez und Pornos auf der NAS, die er auch anderswo bekommt.

Das ist bei der Diskstation nicht anders. Bin ich dort erst eingebrochen, kann ich mit einem Fingerschnipp auch den gesamten Netzwerkverkehr mitlesen.


Viele GRüße
Süno42

 

[Tommes]

Wo siehst Du Probleme, daß es angeblich nicht für jede Anwendung in Frage kommt?

Ich habe mich da wohl etwas unglücklich ausgedrückt. Ich wollte damit eigentlich sagen, das die Fritzbox "leider nur" IPSec unterstützt und kein PPTP oder OpenVPN, so wie es beim VPN-Server des DSM möglich ist. Und da einige Benutzer grade OpenVPN als ihren Favoriten ansehen, wäre es halt gut auch dieses seitens AVM zu unterstützen. Auf PPTP könnte ich jedoch auch ganz gut verzichten von wegen Sicherheit und so.

Tommes

 

[Peter_Lehmann]

So, hier zum eigentlichen Thema:
@DerIng:
Wie in deinem ersten Posting steht, benutzt du eine 7170. Jetzt habe ich meine uralte 7170 schon ein paar Jahrte nicht mehr genutzt. Die 7170 kann schon VPN anbieten? Ich weiß es wirklich nicht mehr.
Aber wenn sie es kann, dann garantiert nur mit der althergebrachten Methode, bei der du mit einem kleinen unter Windows laufenden Konfigurationsprogramm von AVM mit wenigen Klicks zwei Konfigurationsdateien erstellst. Ich habe das mal gesehen - es ist selbsterklärend! Die eine Datei lädtst du mit der GUI der Fritz-Box hoch, und die Daten der Client-Konfiguration kannst du in diverse VPN-Clients eintragen. Das war zumindest mal bei AVM sehr gut beschrieben!
Da Windows IPsec unterstützt, kannst du das doch einfach mal testen. Richte auf der Box ein VPN mit einfachsten Daten (kurzer PSK nur für ein paar Minuten Test, usw.) ein. Einen DynDNS-Namen wird deine Box ja bestimmt schon haben, wenn nicht, dann nimm für die Tests die angezeigte vom Provider zugewiesene IP. Dann gehe mit deinem mobilen Gerät (über einen anderen Intenetzugang) ins Internet und teste, ob du in dein privates Netz kommst. Ich gehe davon aus, dass das funktionieren wird. Du kannst/solltest bei einem Misserfolg auch zuerst einmal mit einem "normalen" Windowsclient (Win 7) und installiertem Shrew-Client testen, ob dein VPN-Endpunkt auf der Box funktioniert. So kannst du diese als "Problem" ausschließen. Ich biete dir auch gern an, für ein paar kurze Tests mein Test-VPN zu öffnen. Damit kannst du testen, ob dein VPN-Client funktioniert. Bei meinem Test-VPN-Zugang weiß ich es ja ... .
Frogman schrieb ja, dass RT nativ kein IPsec unterstützt - ich weiß es wirklich nicht, und will auch nicht suchen.Aber du wirst das doch herausbekommen!

Ob du deine Geräte direkt an den integrierten Switch der Box hängst oder einen weiteren Swith verwendest, kann dir höchstens bei Verwendung von GB-Technik bei Switch, Netzwerkkarten in den Geräten und entsprechenden guten Kabeln im internen Netz Geschwindigkeitsvorteile bringen. Sicherheitsvorteile bringt es keine! Alle Geräte, vom Router bis zum letzten Endgerät befinden sich in einem und demselben Netzsegment. Der Switch spielt hier keine Rolle. Aber das ist wohl bei fast allen privaten Nutzern und Kleinunternehmen der Fall.


Und ab hier wieder [OT]:
@schmadde:

Vielleicht entscheidest Du Dich mal, ob Du Open Source jetzt gut oder schlecht findest.

Eine dümmere Frage hat mir in den letzten Jahren keiner gestellt. Was glaubst du denn, warum ich seit vielen Jahren in zwei Open Source-Foren als Moderator arbeite, zu den Treffen von Mozilla fahre, usw?
Bitte lese dir meinen Beitrag noch einmal in alle Ruhe durch. Der Unterschied zw. uns beiden dürfte wohl lediglich sein, dass ich weiß wie eine entsprechende Evaluierung abläuft und was da in vielen Wochen und Monaten anstrengender Arbeit so abläuft. Etwas derartiges habe ich (leider) bei Open Source noch nicht in diesem Maße erlebt. Noch nicht einmal bei TrueCrypt, wo die Community jetzt endlich damit anfangen will bzw. ein Student schon mal damit angefangen hat. Unsere Meinung zu OpenSource dürfte sich wohl sehr ähneln.
Ach ja, OpenBSD - war da nicht mal was mit einer "FBI-Sicherheitslücke"? ;-)
Wie war doch der letzte Satz im betreffenden Abschnitt meines Postings: "Meine Meinung also: ein Pat zwischen IPsec, openVPN und der jeweiligen Hardware, um der es hier geht. Zumindest so lange, bis wir es besser wissen.

Die Firma bringt es ja nichtmal fertig, das Format der Konfigurationsdatei zu dokumentieren

Warum sollte sie das? Ist das etwa Pflicht?
Ich habe meine umfangreiche Konfigurationsdatei für mein beschriebenes "Multi-VPN" ohne jegliches AVM-Tool (damals gab es noch nicht die Möglichkeit, die Daten gleich in der GUI einzuhacken!) erstellt. Ich habe damals die mir sehr wohl bekannten Parameter in der öffentlich sehr gut dokumentierten Syntax der (üblichen, gängigen, nicht AVM-)IPsec-Konfiguration eingetragen. Ich habe dabei mit einer Minimalkonfiguration klein angefangen und diese immer umfangreicher ausgebaut. Jede Version der Datei hochgeladen und mit dem Client getestet. Ich habe ganz bewusst Parameter verbogen, um zu sehen, wie die Box reagiert. Selbstverständlich dabei die internen Logs der Box ständig life (tail -f ...) überwacht. Die 7270 und später die 7390 hat immer erwartungsgemäß reagiert. Bei richtigen und sinnvollen Parametern entsprechend, und bei "verbogenen" Parametern ebenso wie erwartet. Wie heißt es so schön: "Versuch macht kluch."
Das einzige, was nicht funktioniert hat, war die Verwendung asymmetrischer Schlüssel (X.509). Hier habe ich zuerst wirklich alles getestet und dann AVM gefragt. Innerhalb von Stunden hatte ich die Bestätigung, dass diese Option bewusst nicht mit implementiert wurde. Auch die Begründung kann ich verstehen: der Konsumer ist damit überfordert! Stimmt ja auch ... .
Und wie schon geschrieben, ich habe auf alle meine Fragen immer kompetente und schnelle Antworten bekommen.


@Flori73:

Ich finde das Thema hochinteressant. Frage mich auch, wie sich der Privatanwender via VPN am einfachsten und möglichst sicher an seine Synology kommt.

Du hast schon richtig geschrieben: "...am einfachsten und möglichst sicher ..."
Wir sprechen in der IT-Sicherheit vom "akzeptierbaren Restrisiko". Sozusagen dem Optimum aus "wollen" (eben der höchstmöglichen Sicherheit) und "können" (dem dafür gerade noch zumutbaren Aufwand). Es dürfte klar sein, dass bei einer entsprechenden Bewertung die Einstufung der zu übertragenden Daten eine außerordentlich große Rolle spielt. Das soll keinesfalls heißen, dass die Hersteller der durch uns privat verwendeten "Baumarkt-Router" schlampen bzw. schlampen dürfen. Nur der zumutbare Aufwand für ein SOHO-Gerät ist eben wesentlich niedriger, als bei einem kommerziellen Sicherheitsgateway wie meinetwegen der SINA-Box.
Und ich schrieb ja schon: Ich vertraue der IPsec-Lösung von AVM, und ich persönlich habe alles in meinen Kräften stehende getan, um dies für meine zu übertragenden Daten mit ruhigem Gewissen tun zu können. Und sollte ich morgen bei neuen "Enthüllungen" lesen, dass der Linux-Kernel nicht von Linus T., sondern von Keith A. freigegeben wird, dann wurden wir eben wieder mal verar****.
Es gibt nicht DIE Sicherheit. Deshalb wirst du nur hören bzw. lesen von der "mit an Sicherheit grenzenden Wahrscheinlichkeit ...". Genau so wie IT-Sicherheit keine statische und festgemauerte Größe ist. Sie ist ein dynamischer Prozess - und gegenwärtig gibt es viel Arbeit diesen wieder neu zu bewerten.
Noch schnell vor dem Absenden ergänzt: CISCO-Router? Da war doch gerade was ... .

@Neuling55:
Treffer und Danke!

[/OT] und raus!

MfG Peter

 

[DerIng]

@Peter
Ich würde mal nicht sagen, dass das Beiträge hier OT werden. Es ist viel mehr genau das was ich mir gehofft habe.
Dein Wissen scheint sehr fundiert zu sein und ich lerne gerne was dazu.
Die 7170 kann schon VPN, ich hab bereits 2 iDinger so wie 2 Laptops damit verbunden und das funktioniert auch ganz gut. Leider brauche ich für die Laptops bisher immer noch die Software von AVM oder alternativ Shrew soft. Ich habe gehofft, dass es doch eine Einstellung mit Windows Boardmitteln gibt und ich sie einfach nur nicht kenne.
Deinen Vorschlag, mit dem Ausprobieren, werde ich mal versuchen, auch wenn es etwas komplizierter ist, da mein Surface kein 3g Modul hat.

Leider ist auch die 7170 schon etwas betagte und das letzte update ist schon Jahre her.... können die neuen Boxen denn vielleicht mehr?

Bei meinen Recherchen hab ich auch noch diesen Artikel auf Administrator.de gefunden
http://www.administrator.de/wissen/...wall-im-eigenbau-oder-fertiggerät-149915.html
Hier wird sehr schön beschrieben, wie man mit zusätzlicher Hardware einen VPN Zugang zu seinem Netz aufbauen kann. Was haltet ihr denn von dieser Lösung? Von dieser m0n0wall oder pfSense hab ich noch nie gehört.

 

[Peter_Lehmann]

Hi DerIng,

Wenn du bereits vier funktionierende VPN-Zugänge hast, dann ist ja alles bestens. (Dann muss ich dir ja nicht einmal meinen Testzugang freischalten ;-))
Diese beiden Zugänge unterscheiden sich ja hauptsächlich dadurch, dass du beim VPN für die "iDinger" und die Androiden (dieser eingerichtete Zugang funktioniert mit beiden Geräten!) zusätzlich noch eine Anmeldung mit Benutzername und Passwort (use_xauth = yes anwendest. Das geht natürlich auch mit diversen sonstigen VPN-Clients, muss bei einem entsprechend langen PSK aber nicht unbedingt sein.
Du kannst also die dir bei der Nutzung von Shrew bekannten Daten (deine Erreichbarkeit mit dem DynDNS-Namen oder die IP, die "key_id", auch "Group Id", "IPSecID" bzw. der "Gruppenname" und der eigentliche PSK also bei den meisten VPN-Clients auch "key", oder "Group Password", "IPSecSecret" bzw. "Shared Secret" genannt, in die entsprechenden Felder deines nativ vorhandenen VPN-Clients eintragen. Passieren kann doch dabei überhaupt nichts! Du musst ja das VPN auf der Box erst einmal nicht verändern. Sehe es als Machbarkeitsstudie - und wenn es wirklich nicht geht, dann löschst du eben alles wieder raus. Nur: helfen kann zumindest ich dir dabei nicht. Denn: "Ischhabejakeinwindows". Aber hier lesen doch genügend Windowsnutzer mit. Also kommt mit euren Erfahrungen!

Zur 7170:
Mal abgesehen, dass dieses Teil wegen der heutzutage als schwachbrüstig zu bezeichnenden Hardwareausstattung deutlich sichtbare Grenzen zeigt (trotzdem sind noch Reserven drin, ich habe noch so manchen zusätzlichen Dienst "reingefeetzt!), so musst du immer daran denken, dass es da schon seit einigen Jahren keine neue Firmware mehr gibt, und die vorhandene Firmware somit garantiert auch ungepatchte Sicherheitsmängel besitzt.
Ich komme somit wieder auf das "Restrisiko" zu sprechen. (Dieses besteht aber bei einer derart alten Firmware immer, also nicht nur, wenn du ein VPN betreibst!) Du und nur du musst einschätzen, ob du dieses Risiko für dich und deine Daten als noch akzeptabel bezeichnest, oder du in der Bucht nach einer gebrauchten 7270 (oder neuer) schaust. Andererseits sind garantiert noch Tausende von 7170 ohne Sorgen ihrer Besitzer im Einsatz. Um zu testen, ob du das VPN mit deinem RT-Gerät zu Laufen bringst, reicht es allemal. Und wenn alles klappt, dann hast du ja einen Anreiz, dich mal nach einem besseren Gerät umzusehen - oder vlt. auch mal deinen Provider danach anzusprechen.

Neben mehr Prozessorleistung und mehr RAM (mehr Funktionen, die aber IMHO nicht alle unbedingt nötig sind!), so haben die aktuellen Firmwarestände beim VPN die Möglichkeit, dass man die Daten direkt in der GUI der Box einhacken kann, und die Box daraus seine Konfiguration ableitet. Also ohne Zusatztool und vor allem ohne Hintergrundwissen. Eben Konsumer ... . Allerdings besteht zum Glück immer noch die Möglichkeit, eigene Konfigurationsfiles zu erzeugen und hochzuladen. Ich kann also weiterhin meinen regelmäßigen Schlüsselwechsel machen - und ich weiß auch, was ich konfiguriere und hochlade.

edit:
Jetzt hätte ich doch fast deinen Link mit der Eigenbaulösung vergessen.
Ich habe selbst mehrere Jahre einen "IP-Cop" bzw. "Smoothwall" zu laufen gehabt. Ganz feine Sache! Es gibt viele derartige Lösungen, auch echte Open Source-Projekte für IPsec wie OpenSWAN oder StrongSWAN. Alle haben eines gemeinsam: du lernst viel dabei! Aber, auch wenn da fast alles vorkonfiguriert ist, der unbedarfte Nutzer kann Fehler machen weil er eben nicht alle "Fallstricke" kennt. Und nicht zu vergessen, es läuft dann rund um die Uhr ein weiterer Rechner im Dauerbetrieb und frisst den immer teuerer werdenden Stom! Das ist der Grund, warum ich meinen IP-Cop dann irgendwann verschrottet habe. Der alleinige Grund ... .


MfG Peter

 

[schmadde]

AVM liefert nachträglich neue Funktionalität für bereits auf dem Markt befindliche Router nach. Dies habe ich bei anderen Herstellern noch nicht gesehen bzw. nur sehr eingeschränkt.

Das ist zwar lobenswert, aber das gibts bei Synology auch. Und beim DSM sind oft Features dazugekommen, die wirklich nützlich sind. Bei der Fritzbox kann ich mich an kein Feature erinnern, das mir wirklich was gebracht hätte. Eine Telefonbuchanbindung ans Google-Adressbuch finde ich nicht nur überflüssig, sondern Kontraproduktiv. Solche Misfeatures müllen nur das Flash zu. Warum wird nicht das Telefonbuch über Carddav zur Verfügung gestellt oder wenigstens eine Carddav-Anbindung bereitgestellt? Stattdessen wird für jede NSA-Aussenstelle eine eigene Anbdindung hineingestoppelt Eine Synchronisiereung mit Handys ohne dass meine Seine ganzen Daten ausser Haus gibt, gibt es bei der Fritzbox leider nicht. Beim DSM hab ich wenigsten Owncloud.

Das ist bei der Diskstation nicht anders. Bin ich dort erst eingebrochen, kann ich mit einem Fingerschnipp auch den gesamten Netzwerkverkehr mitlesen.

Nö. eine DS hängt üblicherweise an einem eigenen Switchport und bekommt vom Datenverkehr des LAN ins Internet überhaupt nichts mit (ausser halt die VPN-Verbindungen von aussen). Durch die Fritzbox läuft idR alles durch, incl. WLAN und Telefon. Da kann man prima Sniffer installieren und Passwörter o.ä. mitlauschen bei unverschlüsselten Verbindungen.

Mit einer kompromittierten DS kann man sicher auch eine Menge Unsinn anstellen, hängt auch immer davon ab, was man drauf gespeichert hat. Das Risiko sollte man dann selbst bewerten. Wenn mans dann ernst meint, kann man immer noch eine Extra-VPN-Box ins LAN stellen.

 

[schmadde]

Ach ja, OpenBSD - war da nicht mal was mit einer "FBI-Sicherheitslücke"? ;-)

Nein, war es nicht. Es gab da mal ein Riesenbrimborium um einen Entwickler, der einen Teil des IPsec Subsystems in OpenBSD programmiert hat, der in einer Firma gearbeitet hat, die von einem NSA-Nahen Regierungfonds unterstützt wurde, der offenbar tatsächlich das Ziel hatte, gezielt Schwachstellen in OpenSource-Produkte einzupflanzen. Ein Audit hat zutage gefördert, dass der Mitarbeiter wohl tatsächlich keine Schwachstelle eingebaut hatte, das aber auch egal war, weil dessen Code schon lange durch neuen Code von jemand anders ersetzt wurde.

Zu den Audits die das OpenBSD Projekt selbst durchgeführt hat, muss ich sagen, das ich da recht großes Vertrauen habe. Ich habe einige Jahre für eine ganze Menge Kunden Firewalls betreut auf Basis einer Appliance die wir selbst auf OpenBSD Basis gebaut haben. In der ganzen Zeit gab es in OpenBSD genau ein Sicherheitsloch, das wirklich bedenklich war (Bug in OpenSSH, der Remote-root brachte). Unsere Kisten waren nicht verwundbar, weil wir den verwundbaren Code gar nicht einkompiliert hatten. In der selben Zeit gab es wirklich zahlreiche, auch schwerwiegende Sicherheitfehler im Linux-Userland und sogar im Kernel, die die besseren Hersteller eiligst patchen mussten und die Billigboxen bis heute nicht gepatcht haben. Viele waren in uraltem Unix-Code, der auch in OpenBSD drin war. Die Antwort vom OpenBSD-Projekt war dann immer "Bug ist bekannt, ist bei uns vor xy Jahren gepatcht worden".

Ich habe in der Zeit auch tatsächlich einige mittels Exploits gekaperte Kundenrechner zu Gesicht bekommen.

Das OpenBSD Projekt hat mit hochkarätigen Experten einige Jahre mit dem Audit zugebracht und sehr viele Löcher gefunden. Ich halte es für ausgeschlossen, dass ein kommerzieller Audit von TÜV, BSI o.ä. ein derart komplexes System wie ein modernes Betriebssystem auf vergleichbare Weise untersuchen kann. Ich hatte beruflich auch mal mit dem BSI zu tun. Die Leute sind nicht dumm und sicherlich in der Lage nach Stand der Technik das Risiko für untersuchte Systeme auf einem möglichst niedrigen Niveau zu halten. Ich wäre trotzdem vorsichtig, hier eine Schwar-Weiss-Bewertung abzugeben.

Die Firma bringt es ja nichtmal fertig, das Format der Konfigurationsdatei zu dokumentieren

Warum sollte sie das?

Weil ich kein Windows habe und ich auf dem Standpunkt stehe, dass so ein zentrales Feature auch ohne die Anschaffung eines proprietären und zudem recht teuren Betriebssystems konfigurierbar sein muss - zumal ja alles andere über Webinterface geht. Es ist ja nicht so, dass in der Produktbeschreibung steht "Achtung: VPN Konfiguration nur mit Windows" oder dass das normal wäre. Bei anderen Produkten ging das schon 10 Jahre vorher über Weboberfläche.

Ich habe meine umfangreiche Konfigurationsdatei für mein beschriebenes "Multi-VPN" ohne jegliches AVM-Tool (damals gab es noch nicht die Möglichkeit, die Daten gleich in der GUI einzuhacken!) erstellt. Ich habe damals die mir sehr wohl bekannten Parameter in der öffentlich sehr gut dokumentierten Syntax der (üblichen, gängigen, nicht AVM-)IPsec-Konfiguration eingetragen.

Wo ist die Syntax dokumentiert? Kannst Du mir einen Link schicken? Ich habe mir damals einen Wolf gesucht. Klar habe ich dann auch via Trial-and Error selbst eine Konfiguration erstellt bekommen, das ist aber nicht so einfach, da die Fritzbox manche Proposals nicht unterstützt und die Beispiele alle im Aggressive Mode waren, während ich Main Mode wollte.

Das hat mich ein paar Stunden gekostet, die ich lieber anders verbracht hätte. Ich habe keine Lust mehr auf endloses Gefummel. I'm gettin' too old for this shit. Vor allem wenn ich mir ein fertiges Produkt kaufe, das dieses Feature auch bewirbt.

Das einzige, was nicht funktioniert hat, war die Verwendung asymmetrischer Schlüssel (X.509). Hier habe ich zuerst wirklich alles getestet und dann AVM gefragt. Innerhalb von Stunden hatte ich die Bestätigung, dass diese Option bewusst nicht mit implementiert wurde. Auch die Begründung kann ich verstehen: der Konsumer ist damit überfordert! Stimmt ja auch ... .
Und wie schon geschrieben, ich habe auf alle meine Fragen immer kompetente und schnelle Antworten bekommen.

Komisch, andere Hersteller haben mehr Vertrauen in ihre Kundschaft. Bei Vigor-Routern geht das schon seit Jahren (nicht dass ich das Zeug jetzt empfehlen wollte). Wenn man VPNs von dynmischen IP-Adressen aufbauen will, mit Geräten, die kein xauth unterstützen (was ja nicht notwendig ist, um IPsec konform zu sein), braucht man das auch. Egal für wie dumm einen ein Routerhersteller hält. Die Begründung "das brauchst Du nicht" kenne ich sonst nur von Apple

 

[schmadde]

Bei meinen Recherchen hab ich auch noch diesen Artikel auf Administrator.de gefunden
http://www.administrator.de/wissen/...wall-im-eigenbau-oder-fertiggerät-149915.html
Hier wird sehr schön beschrieben, wie man mit zusätzlicher Hardware einen VPN Zugang zu seinem Netz aufbauen kann. Was haltet ihr denn von dieser Lösung? Von dieser m0n0wall oder pfSense hab ich noch nie gehört.

Die dort beschriebene Lösung finde ich nicht so doll. Wir haben vor etwa 13 Jahren auch mit Geode CPUs angefangen. Die sind für aktuelle und kommende Geschwindigkeiten einfach zu langsam. Ich würde nach einem Gerät mit Via-CPU schauen (Lexcom, Nexcom) oder evtl. noch Atom.

Die angesprochenen FW-Distributionen basieren auf FreeBSD. Habe ich schon lange nicht mehr benutzt kann ich nicht beurteilen. Der Firewallcode ist dort scheinbar von OpenBSD (pf). Das ist meiner Meinung nach mit großem Abstand das beste, was man im OpenSource Bereich finden kann. Sicher besser als iptables und Linux. Wobei dort ja schon wieder ein einem neuen Firewallcode gebastelt wird. Ist das jetzt das vierte oder das fünfte Mal, dass die ihren Firewallcode ersetzen? Wenigstens soll diesmal die alte Syntax beibehalten werden (wobei ich auch hier die von pf deutlich lieber mag).

 

[Frogman]

...Wenigstens soll diesmal die alte Syntax beibehalten werden (wobei ich auch hier die von pf deutlich lieber mag).

Na, erhalten nicht, es soll nur einen internen Konverter geben, um alte Settings nicht umschreiben zu müssen.

 

[Flori73]

Die dort beschriebene Lösung finde ich nicht so doll. Wir haben vor etwa 13 Jahren auch mit Geode CPUs angefangen. Die sind für aktuelle und kommende Geschwindigkeiten einfach zu langsam. Ich würde nach einem Gerät mit Via-CPU schauen (Lexcom, Nexcom) oder evtl. noch Atom

Ich denke auch, dass man da die Hardwareanforderungen höher setzen sollte, 500 mhz sind etwas wenig. Aber interessant ist das auf jeden Fall.

 

[DerIng]

Ich komme somit wieder auf das "Restrisiko" zu sprechen. (Dieses besteht aber bei einer derart alten Firmware immer, also nicht nur, wenn du ein VPN betreibst!) Du und nur du musst einschätzen, ob du dieses Risiko für dich und deine Daten als noch akzeptabel bezeichnest, oder du in der Bucht nach einer gebrauchten 7270 (oder neuer) schaust. Andererseits sind garantiert noch Tausende von 7170 ohne Sorgen ihrer Besitzer im Einsatz. Um zu testen, ob du das VPN mit deinem RT-Gerät zu Laufen bringst, reicht es allemal. Und wenn alles klappt, dann hast du ja einen Anreiz, dich mal nach einem besseren Gerät umzusehen - oder vlt. auch mal deinen Provider danach anzusprechen.

Ich werde das mal mit dem VPN wirklich ausprobieren, mal schauen ob das klappt....
Da ich aber die FritzBox auch mit als Telefonanlage nutze, hab ich auch keine so große Auswahl mehr an alternativ Geräten. Vermutlich werde ich aber aus gründen des fehlenden Updates wirklich die FB wechseln. Eine 7330 würde schon ausreichen, da sie ja aktuell noch verkauft wird sollte sie noch einige Zeit mit Updates versorgt werden.

Vielleicht werde ich mir dann mit der 7330 und meinem zweiten Router eine "mini DMZ" aufbauen, wie in dem Heise Artikel beschrieben. http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html

 

[süno42]

Das ist zwar lobenswert, aber das gibts bei Synology auch. Und beim DSM sind oft Features dazugekommen, die wirklich nützlich sind. Bei der Fritzbox kann ich mich an kein Feature erinnern, das mir wirklich was gebracht hätte. Eine Telefonbuchanbindung ans Google-Adressbuch finde ich nicht nur überflüssig, sondern Kontraproduktiv. Solche Misfeatures müllen nur das Flash zu. Warum wird nicht das Telefonbuch über Carddav zur Verfügung gestellt oder wenigstens eine Carddav-Anbindung bereitgestellt? Stattdessen wird für jede NSA-Aussenstelle eine eigene Anbdindung hineingestoppelt Eine Synchronisiereung mit Handys ohne dass meine Seine ganzen Daten ausser Haus gibt, gibt es bei der Fritzbox leider nicht. Beim DSM hab ich wenigsten Owncloud.

Das ist alles eine Sache der Perspektive. Sowohl bei der Fritzbox als auch bei Synology kann ich mir weitere Funktionalität vorstellen, die wir wichtig ist. Bei der Telefonbuchanbindung an Google stimme ich zu, ist aber unserer beider persönlicher Meinung. Derzeit gefällt mir auch nicht, die Telefonnummern nur über Zusatzsoftware importieren zu können.

Nö. eine DS hängt üblicherweise an einem eigenen Switchport und bekommt vom Datenverkehr des LAN ins Internet überhaupt nichts mit (ausser halt die VPN-Verbindungen von aussen). Durch die Fritzbox läuft idR alles durch, incl. WLAN und Telefon. Da kann man prima Sniffer installieren und Passwörter o.ä. mitlauschen bei unverschlüsselten Verbindungen.

Dann solltest Du Dich mal über MAC-Flooding und ARP-Spoofing informieren. Damit kann ich in den meisten Fällen sehr wohl mitlesen, weil ich damit den Datentransfer über die Diskstation umleiten kann.


Viele Grüße
Süno42

 

[Flori73]

Ich finde es schade, dass der Threat eigeschlafen ist, dennoch möchte ich noch eine Frage an Schmadde richten

Die dort beschriebene Lösung finde ich nicht so doll. Wir haben vor etwa 13 Jahren auch mit Geode CPUs angefangen. Die sind für aktuelle und kommende Geschwindigkeiten einfach zu langsam. Ich würde nach einem Gerät mit Via-CPU schauen (Lexcom, Nexcom) oder evtl. noch Atom.

Ich habe die letzten Tage nach einer Fertiglösung von Lexcom / Nexcom geschaut, nis gefunden.
Hast Du da einen Tipp ?

 

[schmadde]

Ich habe die letzten Tage nach einer Fertiglösung von Lexcom / Nexcom geschaut, nis gefunden.
Hast Du da einen Tipp ?

Ich bin da bzgl. aktueller Entwicklungen nicht mehr so informiert. Würde mich aber wundern, wenn es in den letzten 10 Jahren keine Verbesserung gegeben hätte. Die Firma die ich meinte ist die hier: http://www.lex.com.tw/product/LIGHT-h.htm und das Ding sah damals genauso aus. Gabs mit VIA C3 CPU 533MHz lüfterlos und 800MHz mit CPU Lüfter. Nexcom sind die hier: http://www.nexcom.com/ - wurden damals glaube ich von ICO vertrieben, heute scheinbar von IPC4u

www.soekris.com könntest Du Dir auch mal anschauen, die stehen aber auch mehr auf die schwacbrüstigen CPUs, nur die 6501 scheint einen Atom zu haben.

Als wir mit den Geodes angefangen haben, hatte der schnelle DSL Zugang hierzulande noch 768kBit. Mit den später aufkommenden 6MBit Anschlüssen waren die Geode CPUs schon überfordert (damals noch Userlevel PPPoE). Reines Paketeschaufeln im Ethernet ging so bis 20MBit. Mit dem Kernel-PPPoE hat meine soekris net4501 (ähnliches CPU Kaliber) die 16MBit nicht vollbekommen, bei ca. 14MBit hat sie schlapp gemacht.

Heute gibts für Privatkunden Internet-Anschlüsse mit PPPoE mit 200MBit - 400Mbit stehen in den Startlöchern. Da würde ich mit solch historischen CPUs nicht mehr anfangen.

 

[Rainer Moos]

Hallo Peter,

ich bin bei Recherchen zu VP und IPSec auf dieses Forum gestoßen. Ich habe gestern eine E-Mail an AVM geschrieben und mich nach der Möglichkeit erkundigt, X.509 Zertifikate oder vielleicht auch nur einen Public Key in die FB schieben zu können.
Da Du hier offensichtlich im Thema bist, würde ich Dich gerne wegen Unterstützung anbetteln ;-) Meine Idee geht tatsächlich in die Richtung Public Key allein und noch nicht einmal ein Zertifikat. Ich kenne mich ja schließlich selbst und bin auch per Du mit mir ;-)
Ich versuche geschäftlich gerade hochwertige Smartcards als Schlüsselträger für solche Sachen in den Markt zu bringen und bin keinesfalls der Meinung, dass so etwas "normale Nutzer" überfordern - ist eigentlich nur eine Frage der GUI.
Ich würde mich über eine Kontaktaufnahme per PM freuen, um ein Wenig fachsimpeln zu können ...

 

[Peter_Lehmann]

Hallo Rainer,

und willkommen im Forum!
Selbstverständlich habe ich nichts gegen eine Verbindungsaufnahme per PN. In diesem speziellen Fall sogar sehr gern.

Bis bald!

MfG Peter

 

[Rainer Moos]

Ich bin neu im Forum

Hallo Peter,

wie komme ich an Deine PM?

Gruß
Rainer