13
PeerVPN - Welche Verschlüsselung (Ggf. Alternativen fuer Mesh-VPNs?)
Moin Zusammen,
ich bin derzeit auf der Suche nach einem guten Mesh-VPN. Leider bietet dies meine "Lieblings-VPN-Software" OpenVPN diese Funktion nicht.
Ich bin daher auf folgendes Tool gestoßen: PeerVPN www.peervpn.net https://github.com/peervpn/peervpn
Mit peerVPN lassen sich wunderbar mehrere Server zu einem "vermaschten" Netzwerk zusammenschließen. Theoretisch ideal, um damit ein sicheres Netz zwischen mehreren Servern aufzubauen.
Nun jedoch meine - man möchte meinen simple - Frage: Was für eine Verschlüsselung nutzt PeerVPN?
Ich habe weder auf der offiziellen Seite des Projektes, noch auf anderen Seiten etwas genaues dazu gefunden. Vielleicht sehe ich den Wald vor lauter Bäumen auch nicht mehr.
Daher: Ich bin jedem dankbar, der (versucht) mir den "richtigen Baum im Wald" zu zeigen.
Nebenbei: Solltet ihr andere, bessere, sicherere Alternativen zu peerVPN kennen, freue ich mich darüber ebenfalls zu fachsimpeln.
Besten Dank und Gruß
NetworkUser
ich bin derzeit auf der Suche nach einem guten Mesh-VPN. Leider bietet dies meine "Lieblings-VPN-Software" OpenVPN diese Funktion nicht.
Ich bin daher auf folgendes Tool gestoßen: PeerVPN www.peervpn.net https://github.com/peervpn/peervpn
Mit peerVPN lassen sich wunderbar mehrere Server zu einem "vermaschten" Netzwerk zusammenschließen. Theoretisch ideal, um damit ein sicheres Netz zwischen mehreren Servern aufzubauen.
Nun jedoch meine - man möchte meinen simple - Frage: Was für eine Verschlüsselung nutzt PeerVPN?
Ich habe weder auf der offiziellen Seite des Projektes, noch auf anderen Seiten etwas genaues dazu gefunden. Vielleicht sehe ich den Wald vor lauter Bäumen auch nicht mehr.
Daher: Ich bin jedem dankbar, der (versucht) mir den "richtigen Baum im Wald" zu zeigen.
Nebenbei: Solltet ihr andere, bessere, sicherere Alternativen zu peerVPN kennen, freue ich mich darüber ebenfalls zu fachsimpeln.
Besten Dank und Gruß
NetworkUser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 388667
Url: https://administrator.de/contentid/388667
Printed on: April 18, 2024 at 06:04 o'clock
13 Comments
Latest comment
Hallo,
Hab mal kurz in den Code geschaut. Ist wohl ein SSL VPN, dass für Crypto AES256 und als Hash SHA256 verwendet. Allerdings hat das Projekt wirklich keine Dokumentation. Ebenso gibt es auf Github keine README. Und der letzte Commit war am Mar 22, 2016. Sieht für mich eher nach einem Hobbyprojekt von einem Entwickler aus. Ich würde mir das gut überlegen, ob ich sowas wirklich produktiv in einer Firmen Infrastruktur verwenden möchte, denn scheinbar tut sich da auch nichts mehr von Seiten der Entwickler. Außer du hast genügend Kenntnisse in C(++) und bist auch in der Lage diese Software weiter zu pflegen.
Edit:
Hab mal selber kurz gegoogelt. Mit diesem VPN Daemon kannst du das auch realisieren. Nur wird das Projekt gepflegt und hat eine professionelle, gepflegte Dokumentation.
https://www.tinc-vpn.org
Und ein Tutorial gibts auch dazu:
https://stacksetup.com/VPN/UsingTinc
Viele Grüße,
Exception
Nun jedoch meine - man möchte meinen simple - Frage: Was für eine Verschlüsselung nutzt PeerVPN?
Hab mal kurz in den Code geschaut. Ist wohl ein SSL VPN, dass für Crypto AES256 und als Hash SHA256 verwendet. Allerdings hat das Projekt wirklich keine Dokumentation. Ebenso gibt es auf Github keine README. Und der letzte Commit war am Mar 22, 2016. Sieht für mich eher nach einem Hobbyprojekt von einem Entwickler aus. Ich würde mir das gut überlegen, ob ich sowas wirklich produktiv in einer Firmen Infrastruktur verwenden möchte, denn scheinbar tut sich da auch nichts mehr von Seiten der Entwickler. Außer du hast genügend Kenntnisse in C(++) und bist auch in der Lage diese Software weiter zu pflegen.
Edit:
Hab mal selber kurz gegoogelt. Mit diesem VPN Daemon kannst du das auch realisieren. Nur wird das Projekt gepflegt und hat eine professionelle, gepflegte Dokumentation.
https://www.tinc-vpn.org
Und ein Tutorial gibts auch dazu:
https://stacksetup.com/VPN/UsingTinc
Viele Grüße,
Exception
Moin,
teste mal Tinc oder Wireguard.
Gruß
Spirit
teste mal Tinc oder Wireguard.
Gruß
Spirit
Hallo,
danke für so schnelles Feedback.
@129580: Ja, das Alter des letzten Release und die Tatsache, dass die Doku nicht vorhanden ist, gibt mir auch zu denken. Fit in C(++) bin ich leider nicht.
Über Tinc bin ich ebenfalls gestolpert und finde es sehr interessant, hier frage ich mich jedoch auch wie es mit dem Thema Security aussieht, da auf der Seite des Projektes von "Known security issues" in der aktuellen Stable die Rede ist https://www.tinc-vpn.org/security
Wie ist da deine / eure Einschaetzung? Gerade in einer produktiven Umgebung sollte es gut überlegt sein, da gebe ich dir recht.
Wireguard schaue ich mir gerade an. Sieht sehr, sehr interessant und ausgereift (wenn auch noch in Entwicklung) aus.
Ich suche ein Produkt, bei deren Verwendung ich nachts noch ruhig schlafen kann.
Gruß
NetworkUser
danke für so schnelles Feedback.
@129580: Ja, das Alter des letzten Release und die Tatsache, dass die Doku nicht vorhanden ist, gibt mir auch zu denken. Fit in C(++) bin ich leider nicht.
Über Tinc bin ich ebenfalls gestolpert und finde es sehr interessant, hier frage ich mich jedoch auch wie es mit dem Thema Security aussieht, da auf der Seite des Projektes von "Known security issues" in der aktuellen Stable die Rede ist https://www.tinc-vpn.org/security
Wie ist da deine / eure Einschaetzung? Gerade in einer produktiven Umgebung sollte es gut überlegt sein, da gebe ich dir recht.
Wireguard schaue ich mir gerade an. Sieht sehr, sehr interessant und ausgereift (wenn auch noch in Entwicklung) aus.
Ich suche ein Produkt, bei deren Verwendung ich nachts noch ruhig schlafen kann.
Gruß
NetworkUser
Kurz um,
Tinc habe ich kurz getestet. Funktionieren tut es super. Bezüglich Sicherheit habe ich mich noch nicht näher schlau gemacht.
Allerdings gibt es hier zu auch ein Package bei der PfSense. Wird glaub ich aber nicht wirklich voran gebracht, oder?
Wireguard konnte ich noch nicht wirklich testen. Hier soll es einen großen Performance Vorteil geben.
Was an der Stelle (Erfüllt aktuelle Sicherheitsstandards) heiß, kann ich nur schwer beurteilen.
Wie es hier um die Sicherheit bestellt ist kann ich leider aus dem Stehgreif auch nicht sagen.
Tinc habe ich kurz getestet. Funktionieren tut es super. Bezüglich Sicherheit habe ich mich noch nicht näher schlau gemacht.
Allerdings gibt es hier zu auch ein Package bei der PfSense. Wird glaub ich aber nicht wirklich voran gebracht, oder?
Wireguard konnte ich noch nicht wirklich testen. Hier soll es einen großen Performance Vorteil geben.
Was an der Stelle (Erfüllt aktuelle Sicherheitsstandards) heiß, kann ich nur schwer beurteilen.
Wie es hier um die Sicherheit bestellt ist kann ich leider aus dem Stehgreif auch nicht sagen.
Was für eine Verschlüsselung nutzt PeerVPN?
https://lauri.võsandi.com/lan/peervpn.htmlEine vermaschte VPN Struktur kannst du problemlos mit IPsec aufbauen, allerdings skaliert das bei höheren Anzahlen von Standorten nicht so, da du ja von jedem Punkt zu jedem Punkt einen Tunnel eröffnen musst.
Klappt aber fehlerlos bei kleineren Standort Zahlen.
Generell kann man ein vermaschtes Design auch über eine Stern Struktur abbilden, bedingt dann aber das einige Tunnel doppelten Traffic bekommen.
Von Cisco gibt es ein sehr effizientes VPN Verfahren das die vermaschten Links nur dann dynamsich öffnet wenn auch Traffic dafür da ist:
https://www.cisco.com/c/en/us/products/security/dynamic-multipoint-vpn-d ...
Erfordert aber Cisco Hardware.
Ich habe mir Wireguard nun intensiver angesehen und es ist derzeit zu meinem Favoriten aufgestiegen.
Da ich mich aber noch etwas schwer tue bzgl. des aktuell nicht fertigen Entwicklungsstandes, bin ich weiterhin offen für neues und schaue mich noch weiter um. Wenn es sich jedoch ergibt, dass dies die aktuell beste Variante ist, werde ich dieses Tool einsetzen.
@aqui: Cisco Hardware kommt in diesem Fall nicht in Frage. Es handelt sich um ubuntu 16.04 Hosts, welche untereinander via VPN verbunden werden sollen. Da du schreibst, es sei mit IPSec "problemlos" möglich eine solche Struktur aufzubauen: Kannst du mir dazu gute Anleitungen / HowTos nennen, mit denen ich mich einarbeiten kann?
Leider finde ich gerade zum Thema IPSec wenige - für in diesem Bereich nicht so erfahrene Admins - geeignete Anleitungen / HowTos / Erklärungen für einen einfachen Einstieg.
Vielen Dank & Schönen Abend allerseits
NetworkUser
Da ich mich aber noch etwas schwer tue bzgl. des aktuell nicht fertigen Entwicklungsstandes, bin ich weiterhin offen für neues und schaue mich noch weiter um. Wenn es sich jedoch ergibt, dass dies die aktuell beste Variante ist, werde ich dieses Tool einsetzen.
@aqui: Cisco Hardware kommt in diesem Fall nicht in Frage. Es handelt sich um ubuntu 16.04 Hosts, welche untereinander via VPN verbunden werden sollen. Da du schreibst, es sei mit IPSec "problemlos" möglich eine solche Struktur aufzubauen: Kannst du mir dazu gute Anleitungen / HowTos nennen, mit denen ich mich einarbeiten kann?
Leider finde ich gerade zum Thema IPSec wenige - für in diesem Bereich nicht so erfahrene Admins - geeignete Anleitungen / HowTos / Erklärungen für einen einfachen Einstieg.
Vielen Dank & Schönen Abend allerseits
NetworkUser
Ich kann deine Bedenken gut verstehen. Ich warte derzeit auch darauf das ein final release von Wireguard erscheint.
Raten würde ich dir erstmal noch zum altbewerten IPsec. Auch obwohl der Overhead größer und ohne entsprechender Hardware der flow langsamer ist.
Raten würde ich dir erstmal noch zum altbewerten IPsec. Auch obwohl der Overhead größer und ohne entsprechender Hardware der flow langsamer ist.
Bei meiner Recherche bin ich auf FreeLAN gestoßen: http://www.freelan.org/
Das sieht ziemlich gut aus und wird sogar noch aktuell gepflegt (Letztes Update vor 21 Tagen).
Ich habe auch nichts gefunden in Richtung "Security Issue / Beta / In development" oder dergleichen.
Aus meiner Sicht sieht es solide und für den Produtkiveinsatz geeignet aus.
Habt ihr eventuell Erfahrungen damit gemacht oder andere Meinungen?
@Spirit-of-Eli: Ja, wenn auch FreeLAN keine alternative darstellen sollte, werde ich mir die Zeit nehmen und mich in IPSec einarbeiten. Gehe da jedoch noch mit Respekt dran, da die Konfig alles andere als trivial erscheint.
Gruß
NetworkUser
Das sieht ziemlich gut aus und wird sogar noch aktuell gepflegt (Letztes Update vor 21 Tagen).
Ich habe auch nichts gefunden in Richtung "Security Issue / Beta / In development" oder dergleichen.
Aus meiner Sicht sieht es solide und für den Produtkiveinsatz geeignet aus.
Habt ihr eventuell Erfahrungen damit gemacht oder andere Meinungen?
@Spirit-of-Eli: Ja, wenn auch FreeLAN keine alternative darstellen sollte, werde ich mir die Zeit nehmen und mich in IPSec einarbeiten. Gehe da jedoch noch mit Respekt dran, da die Konfig alles andere als trivial erscheint.
Gruß
NetworkUser
Doch, wenn du verstand hast wie die Grundlagen sind, wird dir das leicht fallen.
Stell nen Tunnel her und Bau darauf die subnetzthematik.
Stell nen Tunnel her und Bau darauf die subnetzthematik.
und mich in IPSec einarbeiten....
Damit liesse sich das im Handumdrehen lösen...IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit einer Handvoll von ein paar 35 Euro Mikrotik Routern
https://varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r2-he ...
ist das im Handumdrehen erledigt.
http://gregsowell.com/?download=5687
Wenn du dann über die VPN Tunnel noch dynamisch routest mit RIPv2 oder OSPF hast du ein Mesh VPN de Luxe...
Hey Zusammen,
die letzte Woche war/ist sehr stressig... daher meine späte Rückmeldung:
@aqui: Vielen Dank für die Linksammlung. Jetzt verstehe ich IPSec ein großes Stück mehr.
Während meiner weiteren Recherche und Überlegungen, habe ich folgende Idee entwickelt, bei der mich eure Meinung interessieren würde:
Es gibt in openVPN ja zum einen die TAP-Devices und zum anderen den P2P Mode. In meiner Gedankenwelt habe ich dadurch folgendes Konstrukt zusammengesetzt:
Durch diese Netzwerktopologie würde ich ein großes, privates Subnetz erhalten und wenn ein Node ausfällt, würde der Traffic weiterhin direkt zu den anderen Knoten laufen. Somit hätte ich ein voll vermaschtes VPN mit openVPN realisiert.
Spricht aus eurer Erfahrung etwas gegen diese Lösung?
Beste Grüße,
NetworkUser
die letzte Woche war/ist sehr stressig... daher meine späte Rückmeldung:
@aqui: Vielen Dank für die Linksammlung. Jetzt verstehe ich IPSec ein großes Stück mehr.
Während meiner weiteren Recherche und Überlegungen, habe ich folgende Idee entwickelt, bei der mich eure Meinung interessieren würde:
Es gibt in openVPN ja zum einen die TAP-Devices und zum anderen den P2P Mode. In meiner Gedankenwelt habe ich dadurch folgendes Konstrukt zusammengesetzt:
Durch diese Netzwerktopologie würde ich ein großes, privates Subnetz erhalten und wenn ein Node ausfällt, würde der Traffic weiterhin direkt zu den anderen Knoten laufen. Somit hätte ich ein voll vermaschtes VPN mit openVPN realisiert.
Spricht aus eurer Erfahrung etwas gegen diese Lösung?
Beste Grüße,
NetworkUser
TAP ist ein sehr schlechter Ansatz. Sogar das OpenVPN Whitepaper rät dringenst davon ab sofern man es nicht wirklich unbedingt machen muss !
Der Grund ist klar: Durch das Bridging Verfahren wird sämtlicher Broad- und Multicast Traffic ALLER 3 Netze in den VPN Tunnel geschickt.
Dadurch das der Tunnel prinzipienbedingt durch den WAN Link eine erheblich geringere Bandbreite hat als die lokalen LANs kumuliert dieser Traffic hier und belastet die Performance des Tunnels erheblich.
Dein Durchsatz sinkt damit dramatisch was bis zum Tunnelabbruch führen kann.
Es gilt wie immer die goldene Netzwerker Regel: "Route where you can, bridge where you must !"
Es spricht also ziemlich viel gegen diese Lösung.
Die Frage ist warum du nicht ein sternförmiges OVPN Netz oder IPsec Netz aufbaust und darüber routest. Das bildet dir ein vollvermaschtes Netz auf einer Sternstruktur ab.
Mit IPsec könntest du sogar komplett vollvermascht agieren wenn du nicht allzu viele Standort hast !
Wenn dann mach es richtig und keine Frickelei !
Der Grund ist klar: Durch das Bridging Verfahren wird sämtlicher Broad- und Multicast Traffic ALLER 3 Netze in den VPN Tunnel geschickt.
Dadurch das der Tunnel prinzipienbedingt durch den WAN Link eine erheblich geringere Bandbreite hat als die lokalen LANs kumuliert dieser Traffic hier und belastet die Performance des Tunnels erheblich.
Dein Durchsatz sinkt damit dramatisch was bis zum Tunnelabbruch führen kann.
Es gilt wie immer die goldene Netzwerker Regel: "Route where you can, bridge where you must !"
Es spricht also ziemlich viel gegen diese Lösung.
Die Frage ist warum du nicht ein sternförmiges OVPN Netz oder IPsec Netz aufbaust und darüber routest. Das bildet dir ein vollvermaschtes Netz auf einer Sternstruktur ab.
Mit IPsec könntest du sogar komplett vollvermascht agieren wenn du nicht allzu viele Standort hast !
Wenn dann mach es richtig und keine Frickelei !
