Was sind die Vor-/Nachteile bei VPN auf Fritz!Box vs Synology?

[Stationary]

stimmt, das ist ein Problem mit Windows und der Fritzbox, da unter Windows 10 das Protokoll “IPSec mit Xauth“ nicht implementiert ist. Darum braucht man dafür bei Windows noch eine client software.

 

[ottosykora]

also wir haben nie eine extra SW bei windows gebraucht. Wie ich sagte, mit XP, w7 , w10 ohne zusätzlich SW mit Bordmitteln.
Ich verwende es auch jetzt noch, ganz normal unter windows L2TP Verbindung erstellen, dann erscheit es in der Liste der Verbindungen, anklicken und es ist verbunden

 

[Stationary]

@ottosykora Wie ich schon sagte: das ist ein Problem zwischen Windows und Fritzbox. Windows hat IPSec mit Xauth nicht implementiert. Wenn man wie Du den VPN Server auf der DS laufen läßt, stellt sich das Problem nicht, weil andere Protokolle verwendet werden, z. B. L2TP. Will man aber den VPN-Endpunkt auf der Fritzbox liegen haben, so geht das in Windows nicht ohne Hilfsprogramme, auch wenn Windows mit dem VPN-Server der Diskstation ohne solche Hilfsprogramme auskommt. siehe auch hier: http://www.boerner-net.de/index.php...g-zur-fritz-box-mit-windows-boardmitteln.html

 

[Synchrotron]

L2TP gilt inzwischen als unsicher.

Privat mag das noch angehen, besser als nichts.

Die FB kann aber auch IPSec (sicher), und wer die Komplexität von OpenVPN vermeiden will, nimmt WireGuard (nicht auf der DS).

 

[Stationary]

Die FB kann aber auch IPSec (sicher)

Die Fritzbox kann nur IPsec/X-auth (https://vpntester.de/info/fritzbox-vpn-verbinden-hilfe-anleitung-fakten/ ). PPTP, L2TP oder openVPN gehen da nicht. Die muß man auf einer Lösung hinter der Fritzbox laufen lassen, z. B. auf einem RasPi: https://www.ionos.com/digitalguide/...n-server-set-up-via-raspberry-pi-and-openvpn/

 

[NSFH]

Seit wann kann Fritz IPSec? Das ist die XAUTH Version und nicht mehr das Gelbe vom Ei.

 

[Stationary]

Seit wann kann Fritz IPSec

• The FRITZ!Box supports VPN connections according to the IPSec standard with ESP, IKEv1, and pre-shared keys. Authentication Header (AH) and Perfect Forward Security (PFS) are not supported. [Originalzitat von AVM: https://en.avm.de/service/vpn/tips-tricks/connecting-the-fritzbox-with-a-companys-vpn/], IPSec mit X-auth.

 

[NSFH]

Dieses Protokoll stammt ursprünglich von CISCO und wird da schon lange nicht mehr verwendet, weil es inzwischen unsicher ist. Was AVM da mit VPN macht ist eigentlich ein schlechter Witz, aber halt immer noch besser als nichts.
Auch ein Witz, dass ausgerechnet Apple, was sich Sicherheit auf die Fahne schreibt, das nativ sogar unterstützt.

 

[DS111-User]

L2TP gilt inzwischen als unsicher.

Gilt "unsicher" Deiner Meinung nach auch für L2TP/IPsec wie es in der aktuellen VPN-Server-Lösung auf einer Synology angeboten wird?

 

[ottosykora]

L2TP gilt inzwischen als unsicher.

so was? Wird auch von grossen Netzwerken weltweit. Nicht jede Firma hat Zeit für Experimente mit OpenVPN etc. Da nimmt man was kommezielles und da ist dann L2TP drin.

 

[ottosykora]

Dieses Protokoll stammt ursprünglich von CISCO und wird da schon lange nicht mehr verwendet,

Das ist ganz sicher nicht so. Das wird ganz normal verwendet. Das wird installiert und verkauft ob gross oder klein, geliefert von Cisco in jeder Menge.

Wenn das Microsoft und Apple nativ unterstützt ist es klar gute Wahl.

 

[Syno-OS]

L2TP: ist ein Tunnelprotokoll, ohne Verschlüsselung -> daher per Definition unsicher!!!

IPsec ist eine Verschlüsselung für Pakete. Daher die Kombination 'IPsec over L2TP' ist weiterhin sicher.

XAUTH , IKEv1/2, da ist noch was komplizierter: https://www.slideshare.net/EngSaif1/internet-key-exchange-protocol-ikev2

https://wiki.securepoint.de/UTM/VPN/Übersicht
Besser gesagt, die AVM Version ist unsicherer, aber ich muss wieder Popcorn nachfüllen...

 

[ottosykora]

aha, danke für Aufklärung, so wird es wohl sein L2TP/IPsec

 

[independence2206]

Als günstige Alternative werkelt bei mir ein Raspi 4, auf dem (neben anderem) WireGuard installiert ist. Empfehlenswert, sehr einfach einzurichten, schnell. Aber man muss dafür sicher sein in der Einrichtung von Portweiterleitungen und der Firewall des Raspi, und keine Angst vor ein wenig Konsolenyoga haben.

Das hab ich vor nem halben Jahr mal probiert und leider war das für mich gar nicht "sehr einfach einzurichten" ;-)

 

[Synchrotron]

Da musst du unterscheiden zwischen dem Raspi / Linux selbst, und WireGuard.

In Raspian Pi OS und was da dran hängt muss man sich sicher erst mal einarbeiten, außer man kommt mit Linux-Vorkenntnissen.

Wireguard selbst ist dann aber sehr einfach einzurichten. Speziell für die Clients (eigentlich sind es Peers) kein Ding: App runter laden, Schlüssel scannen, fertig.

 

[independence2206]

ja, beim initialen einrichten auf dem Raspi hats einfach nicht so geklappt.. vielleicht muss ich mich nochmal rantrauen aber die Linux Kentnisse lassen sicherlich zu wünschen übrig

 

[the other]

Moinsen,
auch auf die Gefahr, mich bei den Forumsbetreibern unbeliebt zu machen (sooooorry):
im Raspi Forum gibt es garantiert gute Tutorials dafür...
https://forum-raspberrypi.de/forum/

 

[peterhoffmann]

die Linux Kentnisse lassen sicherlich zu wünschen übrig

Da mach dir keine Sorgen. Du kannst nur gewinnen... mit jedem Tutorial leckst du mehr Blut und wirst motivierter.

 

[DS111-User]

Können wir bitte beim Thema bleiben?

Bisher für relevant habe ich folgende Punkte notiert:

a) Wer ohne zusätzliche Softwareinstallation mit seinem Windows-Client von extern auf ein Synology-NAS zugreifen will, der wählt die Variante VPN-Server auf Synology mit dem sicheren Protokoll & Verschlüsselung "L2TP/IPsec"

b) Wenn eine Software-Installation auf dem Client keine Hürde ist, kann man zwischen VPN auf der Fritz!Box oder VPN-Server auf Synology wählen. Auf der Fritz!Box scheint VPN "logischer" zu sein, man hat damit auch Zugriff auf weitere Infrastruktur hinter der Fritz!Box.
Benutzer Syno-OS äussert Bedenken zum eingesetzten AVM-XAuth-Protokoll.

Gibt es weitere Kriterien zur ursprünglichen Frage: Was sind die Vor-/Nachteile bei VPN auf Fritz!Box vs Synology?

 

[the other]

Moinsen,
da hast du Recht, sorry fürs Abschweifen...

Fritzbox Vorteile:
-ist eh immer an
-ist eh immer mit dem Netz verbunden
-spart ggf. einen extra DynDNS Dienst
-relativ leichtes Einrichten
Nachteile:
-mehrer User müssen angelegt werden, wenn von diversen Clients zugegriffen wird
-potentiell unsichereres Verschlüsselungsprotokoll
-ggf. veraltete Software/Firmware, daher auch ggf. veraltetes VPN
-Performance (jajaja, wird besser mit Updates, trotzdem kein Vergleich zu "echten" VPN-fähigen Routern, ätsch)
-extra Software nötig für Clients unter windows

NAS Vorteile:
-ähhhh....
-also....
-leichte Einrichtung mehrerer VPN Arten
-potentiell sicherer / aktueller als Fritzbox VPN
Nachteile:
-unsicherer, da dein Fileserver prominent da steht
-muss dann eben auch an sein
-auch die Software Apps der Synos sind nicht immer unbedingt up-to-date, also auch wie Fritzbox: nicht immer die aktuellste VPN Version am Start

Raspi Vorteile
-wireguard möglich
-aktuelle VPN Versionen
-diverse VPN Arten möglich
-ggf. auch verschiedene VPN Arten gleichzeitig möglich (ja kann das NAS afaik auch, stimmt)
-klein, kann immer an sein, geringer Stromverbrauch
-mit neuem Raspi(4) auch recht flott
Nachteile:
-ein weiteres Gerät
-etwas Vorkenntnisse nötig (dann aber auch wesentlich mehr Konfigurationsdetails möglich)

echter VPN Router Vorteile
-schnell
-sicher
-anwenderfreundliche Einrichtung
-eben dafür auch gemacht
Nachteile:
-ein weiteres Gerät / Neuanschaffung nötig
-kostet natürlich auch etwas mehr als ne neue Fritzbox
-Overkill für viele

Soweit meine 2 Pfenn..äh Cent dazu.