Wie sicher ist L2TP/IPSec ?

Status
Für weitere Antworten geschlossen.

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
91
Punkte für Reaktionen
4
Punkte
8
Hallo Forum,

da ich in Zukunft gerne VPN nutzen möchte, beschäftige ich mich gerade mit den verschiedenen Möglichkeiten bzw. Protokollen.

PPTP kommt nicht in Frage, da es unsicher ist.

OpenVPN soll zwar sicher und performant sein, aber mir missfällt, dass man einen extra Client installieren muss und dieser auch noch mit Adminrechten laufen muss. (Für mich persönlich noch machbar, aber für Kunden/Anwender kompliziert.)

Nun bleibt also noch L2TP/IPSec. Eine kurze Recherche bringt allerdings zu Tage, dass MS-CHAPv2 "verwundbar" ist. Wie ernst ist das? Kann man L2TP/IPSec über die DS bedenkenlos verwenden?

Ein weiterer, alternativer Weg, der hier zum Teil auch schon vorgeschlagen wurde, VPN über den Router bzw. die Fritzbox zu nutzen, ist auch nicht gerade einfach. Hier muss man gleich zwei Programme installieren und außerdem den Dienst MyFRITZ! nutzen, damit werde ich auch nicht glücklich!

Also bleibt eigentlich nur L2TP/IPSec, das dann auch den Vorteil bietet, ohne zusätzlichen Client von Windows Rechnern auf das VPN zugreifen zu können.

Grüße
 

Merthos

Benutzer
Mitglied seit
01. Mai 2010
Beiträge
2.709
Punkte für Reaktionen
2
Punkte
84
Wogegen willst Du Dich schützen? Zum sicheren Browsen in öffentlichen WLANs reicht es vollkommen. Wenn Du hingegen ein potentielles Ziel für professionelle Industriespionage bist, dann vielleicht nicht so sehr.
 

maDDin_1338

Benutzer
Mitglied seit
23. Apr 2012
Beiträge
823
Punkte für Reaktionen
0
Punkte
0
hi,

also ich hab damals einfach ne dyndns genommen und nicht den myfritz dienst genutzt.
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
91
Punkte für Reaktionen
4
Punkte
8
Wogegen willst Du Dich schützen? Zum sicheren Browsen in öffentlichen WLANs reicht es vollkommen. Wenn Du hingegen ein potentielles Ziel für professionelle Industriespionage bist, dann vielleicht nicht so sehr.


Nicht ganz, aber schon eher zweiteres.


hi,

also ich hab damals einfach ne dyndns genommen und nicht den myfritz dienst genutzt.

Was hat das miteinander zu tun? Ich habe eine feste IP, brauche also kein dyndns oder sonstwas. Über die Fritzbox sehe ich aber trotz fester IP keinen Weg um den MyFritz! Dienst.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Wozu möchtest du den MyFritz Dienst nutzen?
Ich habe auch nur den VPN der FritzBox in Benutzung.
Allerdings geht es in Win8(10) nicht ohne einen Client da Windows "IKEv1 XAUTH" nicht unterstützt.
Mit Linux habe ich da kein Problem.
 

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
3.017
Punkte für Reaktionen
428
Punkte
149
Also bleibt eigentlich nur L2TP/IPSec, das dann auch den Vorteil bietet, ohne zusätzlichen Client von Windows Rechnern auf das VPN zugreifen zu können.
Irgendwie werde ich das Gefühl nicht los, dass das Risiko, dass irgendwelche Windows Rechner kompromittiert werden, höher ist, als dass jemand eine VPN Verbindung knackt.

Entweder man hat Windows Rechner, die zentral verwaltet und administriert werden, dann ist ein zusätzlicher Client nicht das Problem, oder nicht. Und bei oder nicht hat man wahrscheinlich mehr Sicherheitslücken, als das unsicherste VPN Protokoll (PPTP).
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
91
Punkte für Reaktionen
4
Punkte
8
Irgendwie werde ich das Gefühl nicht los, dass das Risiko, dass irgendwelche Windows Rechner kompromittiert werden, höher ist, als dass jemand eine VPN Verbindung knackt.

Da hast du vollkommen Recht! Der Unterschied ist aber, dass ich gegen die kompromittierten Windows Rechner nichts tun kann bzw. dafür keine Verantwortung habe. Wenn ich das VPN einrichte, dann sollte das zumindest mit meinem eigenen Gewissen vereinbare Sicherheitsstandards erfüllen.

Entweder man hat Windows Rechner, die zentral verwaltet und administriert werden, dann ist ein zusätzlicher Client nicht das Problem, oder nicht. Und bei oder nicht hat man wahrscheinlich mehr Sicherheitslücken, als das unsicherste VPN Protokoll (PPTP).

Das wäre natürlich das Optimum, dass (alle) Windows Rechner zentral verwaltet und administriert werden, aber die Realität sieht leider anders aus.
Ich habe hier testweise die Fritzbox VPN Software und OpenVPN parallel installiert, ganz einfach, weil ich nacheinander alle Varianten durchspiele.
Was passiert nach dem Herstellen der OpenVPN Verbindung? Bluescreen! Die Ursache sind hier wohl AVM und OpenVPN Software auf einem PC. Sowas ist leider äußerst ärgerlich, aber bestätigt mich darin, möglichst auf zusätzliche Clients zu verzichten.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Noch als Ergänzung, soweit ich weiß übernimmt bei "L2TP/IPSec" IPSec die Authentifizierung!?
bei der Synology dann mit IKE und Pre-Shared Key.
(Kenne mich da aber auch nicht so gut aus, also wenn ich Müll schreiben sollte ;-) bitte korrigieren!)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Korrekt - bei IKE werden über Diffie-Hellman Schlüssel bzw. Zertifikat ausgetauscht und dann Verschlüsselungs- und Authentifikationsverfahren festgelegt und ein Masterschlüssel vereinbart, der dann als Grundlage dient für die Erzeugung des eigentlichen Sitzungsschlüssels für den Datentransfer.
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Ein weiterer, alternativer Weg, der hier zum Teil auch schon vorgeschlagen wurde, VPN über den Router bzw. die Fritzbox zu nutzen, ist auch nicht gerade einfach. Hier muss man gleich zwei Programme installieren und außerdem den Dienst MyFRITZ! nutzen, damit werde ich auch nicht glücklich!


Myfritz musst du nicht nutzen. Und du musst auch nicht zwei Programme installieren.
Du kannst alles direkt im Webinterface konfigurieren und installierst dir dann eine VPN App zum verbinden.
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
91
Punkte für Reaktionen
4
Punkte
8
Danke für eure Tipps.
VPN über die Fritzbox wäre dann eventuell auch eine Alternative.
Die optimale Lösung wäre für micht möglichst sicher und auf Clientseite möglichst einfach und praktikabel.

Meine Tests sind fortgeschritten.

Auf die DS komme ich per L2TP/IPSec PSK problemlos mit meinem Android Smartphone, mit nem Windows 8 Rechner klappt es momentan noch nicht, das kann ich erst morgen nochmal testen.

Die Verbindung zum Fritzbox VPN klappt per Android testweise nicht. Ich habe allerdings nicht die neueste Fritz!OS Version installiert, das möchte ich erst nachholen, bevor ich da weitermache.
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
91
Punkte für Reaktionen
4
Punkte
8
Ich komme nach wie vor, per Windows Client nicht auf die DS.
Mit nem Android Smartphone geht es problemlos, die Portfreigabe scheint also zu gehen.

Der Verbindungsfehler ist 809.

EDIT: FritzOS ist jetzt aktuell.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
OpenVPN soll zwar sicher und performant sein, aber mir missfällt, dass man einen extra Client installieren muss und dieser auch noch mit Adminrechten laufen muss. (Für mich persönlich noch machbar, aber für Kunden/Anwender kompliziert.)
JEDER VPN Client/Service muss mit Adminrechten laufen resp diese anfordern können, sonst könnte er die nötigen Systemrouten nicht setzen. Ziemlich egal welcher Client/Service genau ;)
Was mir persönlich sehr gefällt bei OpenVPN ist einerseits, dass es OpenSource ist und dass es sich anderseits sehr gut "härten" lässt --> https://community.openvpn.net/openvpn/wiki/Hardening
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
91
Punkte für Reaktionen
4
Punkte
8
Eine Anleitung hast du wahrscheinlich schon?
http://www.vpntutorials.com/tutorials/l2tp-ipsec-vpn-etup-tutorial-for-windows-8/
bei Error 809 trifft man entweder auf die Windows Firewall oder dies hier, allerdings nicht bei Win 8!?
https://support.microsoft.com/de-de/kb/926179

Den Registry-Wert habe ich schon gesetzt.
Ich kann sowohl von Windows 7, als auch 8 nicht verbinden und erhalte den Error 809.
Mein Android Smartphone aus dem selben (W-)LAN funktioniert problemlos.

Die Anleitung schau' ich mir nochmal genau an, die sieht aber nach den selben Einstellungen aus, die ich verwendet habe.

JEDER VPN Client/Service muss mit Adminrechten laufen resp diese anfordern können, sonst könnte er die nötigen Systemrouten nicht setzen. Ziemlich egal welcher Client/Service genau ;)

Das ist - wie soll ich sagen - ärgerlich.
Was mich von zusätzlicher Software abhält, sind die großen Fragezeichen, die dann daraus wieder resultieren, wie die schon spontan im Testsetup festgestellte Unverträglichkeit zwischen OpenVPN und der Fritzsoftware (siehe z. B. hier http://www.ip-phone-forum.de/showthread.php?t=274164 ).
Sicher, es gibt für alles Workarounds, aber das macht einfach unglaublich viel Arbeit und damit Kosten.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
wieso brauchst du die Fritzbox Fernwartungssoftware? Über VPN befindest du dich doch im lokalen Netz und kannst du Fritte via LAN IP erreichen/verwalten
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
91
Punkte für Reaktionen
4
Punkte
8
wieso brauchst du die Fritzbox Fernwartungssoftware? Über VPN befindest du dich doch im lokalen Netz und kannst du Fritte via LAN IP erreichen/verwalten

Ich brauche sie nicht und ich will sie auch nicht haben. Es gab einen alternativen Lösungsansatz, VPN statt über die DS, über die FritzBox laufen zu lassen.
Und in dem Zusammenhang ist dann die OpenVPN Software und die Fritzsoftware auf einem PC gelandet.
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
91
Punkte für Reaktionen
4
Punkte
8
Es funktioniert! Ich habe die Einstellungen von Andy14s Link verwendet.
Danke für alle Beiträge.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat