Wie sicher ist L2TP/IPSec ?

[Geograph]

Hallo Forum,

da ich in Zukunft gerne VPN nutzen möchte, beschäftige ich mich gerade mit den verschiedenen Möglichkeiten bzw. Protokollen.

PPTP kommt nicht in Frage, da es unsicher ist.

OpenVPN soll zwar sicher und performant sein, aber mir missfällt, dass man einen extra Client installieren muss und dieser auch noch mit Adminrechten laufen muss. (Für mich persönlich noch machbar, aber für Kunden/Anwender kompliziert.)

Nun bleibt also noch L2TP/IPSec. Eine kurze Recherche bringt allerdings zu Tage, dass MS-CHAPv2 "verwundbar" ist. Wie ernst ist das? Kann man L2TP/IPSec über die DS bedenkenlos verwenden?

Ein weiterer, alternativer Weg, der hier zum Teil auch schon vorgeschlagen wurde, VPN über den Router bzw. die Fritzbox zu nutzen, ist auch nicht gerade einfach. Hier muss man gleich zwei Programme installieren und außerdem den Dienst MyFRITZ! nutzen, damit werde ich auch nicht glücklich!

Also bleibt eigentlich nur L2TP/IPSec, das dann auch den Vorteil bietet, ohne zusätzlichen Client von Windows Rechnern auf das VPN zugreifen zu können.

Grüße

 

[Merthos]

Wogegen willst Du Dich schützen? Zum sicheren Browsen in öffentlichen WLANs reicht es vollkommen. Wenn Du hingegen ein potentielles Ziel für professionelle Industriespionage bist, dann vielleicht nicht so sehr.

 

[maDDin_1338]

hi,

also ich hab damals einfach ne dyndns genommen und nicht den myfritz dienst genutzt.

 

[Geograph]

Wogegen willst Du Dich schützen? Zum sicheren Browsen in öffentlichen WLANs reicht es vollkommen. Wenn Du hingegen ein potentielles Ziel für professionelle Industriespionage bist, dann vielleicht nicht so sehr.

Nicht ganz, aber schon eher zweiteres.

hi,

also ich hab damals einfach ne dyndns genommen und nicht den myfritz dienst genutzt.

Was hat das miteinander zu tun? Ich habe eine feste IP, brauche also kein dyndns oder sonstwas. Über die Fritzbox sehe ich aber trotz fester IP keinen Weg um den MyFritz! Dienst.

 

[Andy14]

Wozu möchtest du den MyFritz Dienst nutzen?
Ich habe auch nur den VPN der FritzBox in Benutzung.
Allerdings geht es in Win8(10) nicht ohne einen Client da Windows "IKEv1 XAUTH" nicht unterstützt.
Mit Linux habe ich da kein Problem.

 

[Iarn]

Also bleibt eigentlich nur L2TP/IPSec, das dann auch den Vorteil bietet, ohne zusätzlichen Client von Windows Rechnern auf das VPN zugreifen zu können.

Irgendwie werde ich das Gefühl nicht los, dass das Risiko, dass irgendwelche Windows Rechner kompromittiert werden, höher ist, als dass jemand eine VPN Verbindung knackt.

Entweder man hat Windows Rechner, die zentral verwaltet und administriert werden, dann ist ein zusätzlicher Client nicht das Problem, oder nicht. Und bei oder nicht hat man wahrscheinlich mehr Sicherheitslücken, als das unsicherste VPN Protokoll (PPTP).

 

[Geograph]

Irgendwie werde ich das Gefühl nicht los, dass das Risiko, dass irgendwelche Windows Rechner kompromittiert werden, höher ist, als dass jemand eine VPN Verbindung knackt.

Da hast du vollkommen Recht! Der Unterschied ist aber, dass ich gegen die kompromittierten Windows Rechner nichts tun kann bzw. dafür keine Verantwortung habe. Wenn ich das VPN einrichte, dann sollte das zumindest mit meinem eigenen Gewissen vereinbare Sicherheitsstandards erfüllen.

Entweder man hat Windows Rechner, die zentral verwaltet und administriert werden, dann ist ein zusätzlicher Client nicht das Problem, oder nicht. Und bei oder nicht hat man wahrscheinlich mehr Sicherheitslücken, als das unsicherste VPN Protokoll (PPTP).

Das wäre natürlich das Optimum, dass (alle) Windows Rechner zentral verwaltet und administriert werden, aber die Realität sieht leider anders aus.
Ich habe hier testweise die Fritzbox VPN Software und OpenVPN parallel installiert, ganz einfach, weil ich nacheinander alle Varianten durchspiele.
Was passiert nach dem Herstellen der OpenVPN Verbindung? Bluescreen! Die Ursache sind hier wohl AVM und OpenVPN Software auf einem PC. Sowas ist leider äußerst ärgerlich, aber bestätigt mich darin, möglichst auf zusätzliche Clients zu verzichten.

 

[Geograph]

Wozu möchtest du den MyFritz Dienst nutzen?

Ich wollte den Dienst nicht nutzen, aber die Anleitung vom AVM und das Programm "FRITZ!Box-Fernzugang einrichten" zwingt einen dazu.

 

[Andy14]

Naja, in Ihren Anleitungen nutzen sie Ihre Tools.
Statt dem "MyFRITZ!-Domainname" kannst du einfach deinen "Domainnamen" oder deine "IP" eintragen.
Sie haben sogar eine Anleitung für einen anderen Client
http://avm.de/service/vpn/tipps-tri...-shrew-soft-vpn-client-einrichten-windows-10/
hier natürlich wieder mit deinem/er Domeinnamen/IP.

 

[Andy14]

Noch als Ergänzung, soweit ich weiß übernimmt bei "L2TP/IPSec" IPSec die Authentifizierung!?
bei der Synology dann mit IKE und Pre-Shared Key.
(Kenne mich da aber auch nicht so gut aus, also wenn ich Müll schreiben sollte ;-) bitte korrigieren!)

 

[Frogman]

Korrekt - bei IKE werden über Diffie-Hellman Schlüssel bzw. Zertifikat ausgetauscht und dann Verschlüsselungs- und Authentifikationsverfahren festgelegt und ein Masterschlüssel vereinbart, der dann als Grundlage dient für die Erzeugung des eigentlichen Sitzungsschlüssels für den Datentransfer.

 

[PsychoHH]

Ein weiterer, alternativer Weg, der hier zum Teil auch schon vorgeschlagen wurde, VPN über den Router bzw. die Fritzbox zu nutzen, ist auch nicht gerade einfach. Hier muss man gleich zwei Programme installieren und außerdem den Dienst MyFRITZ! nutzen, damit werde ich auch nicht glücklich!

Myfritz musst du nicht nutzen. Und du musst auch nicht zwei Programme installieren.
Du kannst alles direkt im Webinterface konfigurieren und installierst dir dann eine VPN App zum verbinden.

 

[Geograph]

Danke für eure Tipps.
VPN über die Fritzbox wäre dann eventuell auch eine Alternative.
Die optimale Lösung wäre für micht möglichst sicher und auf Clientseite möglichst einfach und praktikabel.

Meine Tests sind fortgeschritten.

Auf die DS komme ich per L2TP/IPSec PSK problemlos mit meinem Android Smartphone, mit nem Windows 8 Rechner klappt es momentan noch nicht, das kann ich erst morgen nochmal testen.

Die Verbindung zum Fritzbox VPN klappt per Android testweise nicht. Ich habe allerdings nicht die neueste Fritz!OS Version installiert, das möchte ich erst nachholen, bevor ich da weitermache.

 

[Geograph]

Ich komme nach wie vor, per Windows Client nicht auf die DS.
Mit nem Android Smartphone geht es problemlos, die Portfreigabe scheint also zu gehen.

Der Verbindungsfehler ist 809.

EDIT: FritzOS ist jetzt aktuell.

 

[Andy14]

Eine Anleitung hast du wahrscheinlich schon?
http://www.vpntutorials.com/tutorials/l2tp-ipsec-vpn-etup-tutorial-for-windows-8/
bei Error 809 trifft man entweder auf die Windows Firewall oder dies hier, allerdings nicht bei Win 8!?
https://support.microsoft.com/de-de/kb/926179

 

[jahlives]

OpenVPN soll zwar sicher und performant sein, aber mir missfällt, dass man einen extra Client installieren muss und dieser auch noch mit Adminrechten laufen muss. (Für mich persönlich noch machbar, aber für Kunden/Anwender kompliziert.)

JEDER VPN Client/Service muss mit Adminrechten laufen resp diese anfordern können, sonst könnte er die nötigen Systemrouten nicht setzen. Ziemlich egal welcher Client/Service genau
Was mir persönlich sehr gefällt bei OpenVPN ist einerseits, dass es OpenSource ist und dass es sich anderseits sehr gut "härten" lässt --> https://community.openvpn.net/openvpn/wiki/Hardening

 

[Geograph]

Eine Anleitung hast du wahrscheinlich schon?
http://www.vpntutorials.com/tutorials/l2tp-ipsec-vpn-etup-tutorial-for-windows-8/
bei Error 809 trifft man entweder auf die Windows Firewall oder dies hier, allerdings nicht bei Win 8!?
https://support.microsoft.com/de-de/kb/926179

Den Registry-Wert habe ich schon gesetzt.
Ich kann sowohl von Windows 7, als auch 8 nicht verbinden und erhalte den Error 809.
Mein Android Smartphone aus dem selben (W-)LAN funktioniert problemlos.

Die Anleitung schau' ich mir nochmal genau an, die sieht aber nach den selben Einstellungen aus, die ich verwendet habe.

JEDER VPN Client/Service muss mit Adminrechten laufen resp diese anfordern können, sonst könnte er die nötigen Systemrouten nicht setzen. Ziemlich egal welcher Client/Service genau

Das ist - wie soll ich sagen - ärgerlich.
Was mich von zusätzlicher Software abhält, sind die großen Fragezeichen, die dann daraus wieder resultieren, wie die schon spontan im Testsetup festgestellte Unverträglichkeit zwischen OpenVPN und der Fritzsoftware (siehe z. B. hier http://www.ip-phone-forum.de/showthread.php?t=274164 ).
Sicher, es gibt für alles Workarounds, aber das macht einfach unglaublich viel Arbeit und damit Kosten.

 

[jahlives]

wieso brauchst du die Fritzbox Fernwartungssoftware? Über VPN befindest du dich doch im lokalen Netz und kannst du Fritte via LAN IP erreichen/verwalten

 

[Geograph]

wieso brauchst du die Fritzbox Fernwartungssoftware? Über VPN befindest du dich doch im lokalen Netz und kannst du Fritte via LAN IP erreichen/verwalten

Ich brauche sie nicht und ich will sie auch nicht haben. Es gab einen alternativen Lösungsansatz, VPN statt über die DS, über die FritzBox laufen zu lassen.
Und in dem Zusammenhang ist dann die OpenVPN Software und die Fritzsoftware auf einem PC gelandet.

 

[Geograph]

Es funktioniert! Ich habe die Einstellungen von Andy14s Link verwendet.
Danke für alle Beiträge.