9
VPN - Wie und über welches Gerät?
Hallo,
ich möchte einen VPN-Server/Zugang zu meinem Netzwerk einrichten, der Up/Down mit AES256 50 Mbit/s liefern kann.
Außerdem muss das VPN hinter einem Router funktioneren, der keine Portfreigaben fürs ESP-Protokoll unterstützt. Meines Wissens nach bedeutet das, dass NAT-T unterstützt werden
Hardwaretechnisch würde ich nach Möglichkeit keine zusätzlichen Anschaffungen tätigen wollen. Vorhanden sind:
- EdgeRouter Pro
- RootServer (u.a. mit PfSense als VM)
- Synology NAS mit x86 CPU
Was wäre da die optimale Implementierung auf welcher Hardware?
ich möchte einen VPN-Server/Zugang zu meinem Netzwerk einrichten, der Up/Down mit AES256 50 Mbit/s liefern kann.
Außerdem muss das VPN hinter einem Router funktioneren, der keine Portfreigaben fürs ESP-Protokoll unterstützt. Meines Wissens nach bedeutet das, dass NAT-T unterstützt werden
Hardwaretechnisch würde ich nach Möglichkeit keine zusätzlichen Anschaffungen tätigen wollen. Vorhanden sind:
- EdgeRouter Pro
- RootServer (u.a. mit PfSense als VM)
- Synology NAS mit x86 CPU
Was wäre da die optimale Implementierung auf welcher Hardware?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 318383
Url: https://administrator.de/contentid/318383
Printed on: April 26, 2024 at 19:04 o'clock
9 Comments
Latest comment
EdgeRouter wäre meine erste Anlaufstelle.
Gruß
Kümmel
Gruß
Kümmel
Denkst du, dass der die nötige Performance hat?
Und ich möchte natürlich Standort<-->Client und nicht Standort<-->Standort, d.h. es wäre auch wünschenswert, wenn man sich mit dem VPN-Server mit einem Standard-OS ohne zusätzliche Software verbinden könnte. Notfalls ginge natürlich auch ein ShrewSoft-Client, aber das ist halt nicht so angenehm.
APU2C4 mit PfSense und OpenVPN als Protokoll für das VPN.
VG
Val
VG
Val
So, ich habe mir jetzt eine L2TP/Ipsec-Verbindung auf dem EdgeRouter eingerichtet. Lustigerweise ging das noch nie so schnell wie damit, obwohl der EdgeRouter hinter einem NAT hängt.
Jetzt stellen sich mir aber noch ein paar Fragen:
- War L2TP/Ipsec die richtige Wahl für Client/Serer-Verbindungen?
- Guides sagen, dass ich Port 1701 weiterleiten/freigeben soll? Wozu ist mit NAT-T doch in einem UDP Package auf Port 4500 eingebettet oder?
- Guides sagen, dass ich Protokolle 50/ESP weiterleiten/freigeben soll? Wozu ist mit NAT-T doch in einem UDP Package auf Port 4500 eingebettet oder?
- Wo sehe ich welche Verschlüsselung benutzt wird. Ich habe noch keine spezielle auf dem EdgeRouter konfiguriert. Erkennen die Clients automatisch, welche benutzt wird?
- Für welche Teile von Ipsec ist welche Verschlüsselung der beste Kompromiss aus Geschwindigkeit und Sicherheit? Sprich, was ist best practice?
Jetzt stellen sich mir aber noch ein paar Fragen:
- War L2TP/Ipsec die richtige Wahl für Client/Serer-Verbindungen?
- Guides sagen, dass ich Port 1701 weiterleiten/freigeben soll? Wozu ist mit NAT-T doch in einem UDP Package auf Port 4500 eingebettet oder?
- Guides sagen, dass ich Protokolle 50/ESP weiterleiten/freigeben soll? Wozu ist mit NAT-T doch in einem UDP Package auf Port 4500 eingebettet oder?
- Wo sehe ich welche Verschlüsselung benutzt wird. Ich habe noch keine spezielle auf dem EdgeRouter konfiguriert. Erkennen die Clients automatisch, welche benutzt wird?
- Für welche Teile von Ipsec ist welche Verschlüsselung der beste Kompromiss aus Geschwindigkeit und Sicherheit? Sprich, was ist best practice?
Hallo Stephan,
ich möchte dir etwas zu den Guides sagen. Das Protokoll L2TP, mit dem die Daten übertragen werden, benutzt den Port UDP/1701. Klick mal auf die Bilder.
Diese Pakete werden mittels des Protokolls ESP (Protokoll 50) verschlüsselt. Daher der Name L2TP-over-IPSec. Den UDP-Header (1701) sieht der Router also nie, da das gesamte Paket verschlüsselt ist. Wenn NAT-T auf Client und Server aktiviert ist und ein NAT-Gerät beim Verbindungsaufbau erkannt wird, werden die Pakete zusätzlich mit einem UDP-Header (Port 4500) versehen:
Dadurch kann der NAT-Router die Daten wie normale UDP-Pakete behandeln. Es müssen also FW- und NAT-Regeln (Weiterleitungen) für die Ports UDP 500/4500 existieren. Heutzutage haben alle Softwareclients NAT-T per default aktiviert und auf dem IPSec-Gateway muss man es meist einstellen.
Die Verschlüsselung und andere Verbindungsparameter handeln Client und Server beim Verbindungsaufbau aus. Dabei gelten alle AES-Varianten als schnell und die Sicherheit steigt mit der Schlüssellänge. Das Ergebnis der Aushandlung sieht man meist in den Verbindungsdetails.
Ob L2TP/IPSec ist die richtige Wahl ist, kann ich dir nicht sagen. Es kommt darauf an, was Client und Server können. Es hat auf jeden Fall den Vorteil, dass es eine Benutzerauthentifizierung kann und IP-Parameter verteilt. (IP und DNS-Adresse). Bei der reinen Datenübertragung ist es so sicher wie alle anderen Varianten.
BB
ich möchte dir etwas zu den Guides sagen. Das Protokoll L2TP, mit dem die Daten übertragen werden, benutzt den Port UDP/1701. Klick mal auf die Bilder.
Die Verschlüsselung und andere Verbindungsparameter handeln Client und Server beim Verbindungsaufbau aus. Dabei gelten alle AES-Varianten als schnell und die Sicherheit steigt mit der Schlüssellänge. Das Ergebnis der Aushandlung sieht man meist in den Verbindungsdetails.
Ob L2TP/IPSec ist die richtige Wahl ist, kann ich dir nicht sagen. Es kommt darauf an, was Client und Server können. Es hat auf jeden Fall den Vorteil, dass es eine Benutzerauthentifizierung kann und IP-Parameter verteilt. (IP und DNS-Adresse). Bei der reinen Datenübertragung ist es so sicher wie alle anderen Varianten.
BB
Danke, das ist ja genau das, was ich vermutet habe. Port 1701 und ESP muss ich also nicht freigeben.
Welche konkreten Verschlüsselungen ich nun wo benutzen soll für den Anfang wäre noch gut zu wissen.
Welche konkreten Verschlüsselungen ich nun wo benutzen soll für den Anfang wäre noch gut zu wissen.
Hallo,
da das für dich privat ist, probiere es einfach aus. Verwende nicht gerade DES als Algorithmus. Beachte dabei, dass derjenige, der die Verbindung annimmt (Responder), die Verschlüsselung bestimmt. Also am besten auf dem Router konfigurieren,. Zuständig für die Datenübertragung sind ausschließlich die Parameter in Phase 2.
Der Text war eigentlich länger, aber nach irgendeinem Tastendruck war alles gelöscht, darum die Kurzfassung.
BB
da das für dich privat ist, probiere es einfach aus. Verwende nicht gerade DES als Algorithmus. Beachte dabei, dass derjenige, der die Verbindung annimmt (Responder), die Verschlüsselung bestimmt. Also am besten auf dem Router konfigurieren,. Zuständig für die Datenübertragung sind ausschließlich die Parameter in Phase 2.
Der Text war eigentlich länger, aber nach irgendeinem Tastendruck war alles gelöscht, darum die Kurzfassung.
BB
Ich hab aktuell noch ein weiteres Problem:
Mit einem Android Smartphone funktioniert der VPN perfekt, unter Windows jedoch schlecht bis gar nicht. D.h. lokale IPs sind oft nicht erreichbar und die Internetverbindung geht verloren. Woran könnte das liegen?
Mit einem Android Smartphone funktioniert der VPN perfekt, unter Windows jedoch schlecht bis gar nicht. D.h. lokale IPs sind oft nicht erreichbar und die Internetverbindung geht verloren. Woran könnte das liegen?
