sicherheit Zugriff via Open VPN

sicherheit Zugriff via Open VPN (28 Beiträge, 735 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

in den nächsten wochen stehen ein paar außendiensttouren an. und da hab ich mir gedacht. um von überall, zumindest abends, zugriff auf meine musiksammlung und filme zu haben realisiere ich endlich mal mit meinem fileserver zu hause einen vpn tunnel via open vpn. nun stellt sich mir die frage der sicherheit. wie sicher ist das ganze?

der fileserver hängt am router, dieser wiederum am tele2 modem. am fileserver läuft win xp mit php und mysql server (fürs entwickeln). adresse ist nun dynamisch statt wie bei chello statisch. lösung via dyndns?

hab jetzt mit open vpn wenig bis keine erfahrung. bei uns in der firma verwenden wir hardware vpn router - für den heimgebrauch ein wenig übertrieben!

hat jemand sowas schon mal realisiert? habt ihr tipps? andere möglichkeiten? (für die musik könnte ich auch das nutzen http://forum.geizhals.at/t649561.html läuft dann halt wieder via php und mysql was ja auch net so das ideale wäre)

ach ja hab nach den vorschlägen von damals http://forum.geizhals.at/t618713.html diese konfiguration (statt TB platten nun 1,5 TB) auf die zweite wird regelmäßig ein backup angelegt. http://geizhals.at/eu/?cat=WL-50578 cpu ist momentan undervoltet - für vpn muss ich die sicher wieder höhertakten

01.09.2009, 11:53 Uhr - Editiert von q.e.d., alte Version: hier

>lösung via dyndns?

ja..

>wir hardware vpn router

naja, dd-wrt macht auch vpn (z.b. pptp) ist halt nicht SOO sicher..

openVPN ist IMHO sehr sicher... (ist ja ssl..?)

nachtrag: dd-wrt kann wohl auch openVPN, frag micht aber nicht wie

http://www.dd-wrt.com/wiki/index.php/OpenVPN

01.09.2009, 12:25 Uhr - Editiert von adhoc, alte Version: hier

st ja ssl..?

denk ich mir auch, dass das recht sicher ist

nun stellt sich mir die frage der sicherheit. wie sicher ist das ganze?

OpenVPN ist extrem gut... Ich kann es sehr empfehlen.

Wenn Du es sauber machen willst (und dazu würde ich schwer anraten) - dann setzt du es mit PKI auf.

So Du das noch nicht hast:
Bau Dir
- eine CA
- eine SubCA (von der CA signiert). Sie soll ausschließlich SSL-Client/Server-Certs ausstellen dürfen.
- dein SSL-Server-Cert (für den Server) und ein SSL-Client-Cert für den Client.
- Extra-Firewall-Regeln (zB könntest Du sagen, dass Clients aus dem Netz nur auf dein Netzlaufwerk zugreifen dürfen und sonst nichts)

Vorteile der CA:
- Hohe Schlüssellängen (zB sind 4096bit Stressfrei - nur der Verbindungsaufbau wird länger, nachher stört es nicht)
- Bequem. Einfach beim Wegfahren ein Client-Zert mit Ablaufzeit (=Rückkehr) erstellen.. Keine Weiteren Schritte zu setzen.
- Früher oder später kommt sicher die Anforderung, dass Du jemand anders ebenfalls zugreifen lässt (JA, ich dachte auch, dass das nie kommt

). Das klappt nur zertifikatsbasiert. Daher besser gleich auf PKI setzen und nachher Umstellung ersparen.

Da gab es noch einen Schalter für "volatile IP" oder so - der ist nett, wenn Du deine IP-Addresse (Client) während der Session änderst... Den mußt dann auf "JA" setzen... Keep-Alive-Pakete solltest ebenfalls aktivieren (ausser der Traffic ist sehr teuer für dich)

Ich habe (vor Jahren) einen Pentium(1) mit 133 MHz als VPN-Concentrator aufgesetzt - der war definitiv unterfordert mit der Aufgabe - auch bei einigen Concurrent Usern... Und transparentes komprimieren der Pakete war sogar aktiv.

super danke für die tipps werd mir das mal genauer zu gemüte führen

5 Letzte Punkte noch:
1.) PKI: Es kommen Scripts mit (in einem "easy-rsa" Ordner (oder so))... Wenn du noch keine PKI hast und es Dir nicht gleich antun willst - damit kannst mal Zerts erzeugen. Die Scripts sind nicht super (AuthorityInfoAccess und andere kannst nicht setzen) - aber sie sind ein Startpunkt, damit du mal in 10 Minuten was hast.

2.) Seien C dein Concentrator und A und B zwei Clients. Dann sieht es ja normal so aus:

A----S-----B
Also wenn A was zu B sendet, geht es von A zu S und dann zu B.
Es gibt einen Parameter, bei dem A und B (sobald sie den Kontakt zu S aufgebaut haben) direkt miteinander kommunizieren können (also an S vorbei). Irgendwie habe ich bei der Lösung Bauchweh - allerdings rein subjektiv. Wenn du sowas baust, dann poste bitte deine Resultate.

3.) OpenVPN ist Rocksolid - wir haben es Jahrelang eingesetzt. Wenn bei euch mal ein Wechsel der HardwareVPN-Teile ansteht, sollte man sich eine OpenVPN-Lösung durchaus als Nachfolger ansehen... Linux-Kenntnisse dürftest eh haben (ich habe nur Windows-Clients damit Serviciert, Erfahrungen mit OpenVPN-Server auf einem Windows-Rechner habe ich _keine_. )

4.) Du kannst es ja wahlweise auf UDP oder TCP aufsetzen... Ich verwendete ausschließlich UDP (auch bei Teilnehmern im VPN auf anderen Kontinenten) und kann es sehr empfehlen. TCP wird meines Wissens nur verwendet, wenn UDP aufgrund von Policies nicht klappt (Firewall).

5.) Es ist Firewall-Friendly. Fixer Port.

01.09.2009, 13:08 Uhr - Editiert von kombipaket, alte Version: hier

tcp ist generell abzuraten ausser es geht nicht anders. typisches beispiel: openvpn über firmenproxy.

höhere latency, reschedules, zu viele retransmissions. es geht, keine frage aber vor allem bei schlechteren verbindungen wie im ausland oder über mobilfunk weit weniger performanter als udp.

ad 2: meinst die client-to-client directive?
Wenn Microsoft die Lösung ist, will ich mein Problem zurück

openvpn ist toll. es dauert eine weile bis es steht, aber dann rennt es perfekt.
Wenn Microsoft die Lösung ist, will ich mein Problem zurück

Und... Wie klappte es mit OpenVPN ? Zufrieden ? Enttäuscht ? Doch nicht mit OpenVPN gelöst ? Berichte!

noch nicht dazu gekommen....

es hat sich aber alles etwas verschoben

hello,
na dann frag ich mal flapsig was ich für eine OpenVPN Connection benötige
daheim?

*)Router - DynDNS ist vorhanden
*)VPN Accesspoint - was sollte man da nehmen?

und betreffend der Zertifikate gibt es da eine
genaue Anleitung wenn man nicht so firm ist mit dem Zeug

?

danke - lg C

I2 >> http://www.i-i.at

VPN Access Point:

OpenVPN bringt einen Server und einen Client mit - der Server ist dein Access Point
Zertifikate: Da gibt es ein Verzeichnis "easy-rsa" - da gibt es Scripts, drin, die Client- und Serverzertifikate erstellen. Vorteil: DAU-sicher. Nachteil: Sie sind halt nicht komplett personalisiert - die "arcane Features" von Zerts hast Du nicht dabei... Wenn du Anfänger bei PKI bist, brauchst die aber auch nicht

>Vorteil: DAU-sicher.

ja, genau, hab ich mir auch gedacht

bis ich irgendwann nach 1 stunde draufgekommen bin, dass man irgendein passwort NICHT eingeben darf... (also leer lassen muss)

Keine Ahnung, welchen Punkt Du mit password NICHT eingeben meinst...

wenn ich bei build-key-server

bei

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:

ein "challenge passwort" eingebe, funktioniert es (bei mir) nicht

lass ich es leer funktionierts..

und die ganz zeit kryptische fehler "Error adding attribute", oder "unable to write 'random state'"

usw. usw.

für "EASY" rsa finde/fand ich das etwas un-Easy

02.11.2009, 08:18 Uhr - Editiert von adhoc, alte Version: hier

Aaaah - das meinst Du.

Das ist klar - das kommt von den OpenSSL-Tools, und easy-rsa ist ja ein Script, dass darauf aufbaut. Normalerweise sicherst ja deine Zerts mit Key drinnen nochmal - eben mit einem Password, daher macht es Sinn, dass OpenSSL danach frägt. Diverse Server (Apache, OpenVPN, ...) können aber das Kennwort so nicht providen - daher kein Kennwort.

Hast aber recht - dieses PW gab es... Stimmt.
Mein OpenVPN rennt schon seit Jahren, da war mir das entfallen - sorry

okay danke - ich werd mir mal die materie ansehen,
für mich stellt sich die frage
welchen technischen fuhrpark ich dafür benötige bzw.
welche HW empfehlenswert ist für den Spaß

!? thx

I2 >> http://www.i-i.at

Also mein P133 mit 64MB Ram (und anderen Aufgaben) reichte vollkommen, um VPN-Konzentrator für ein 10Mbit-Lan mit mehreren Clients zu servisieren...

Irgendein ausgedienter Rechner tut es auf jeden Fall.

Anders wird es, wenn hunderte oder tausende Clients hinsollen - dann muss man sich aber eh auch andere Gedanken machen (Ausfallsicherheit NW, Server, Redundanzen, ...)

oder ein router mit alternativer firmware..?!

okay ... das mittn router klingt schon mal super !
welche firmware is des bzw. was ist brauchbar?
und wie schauts mit wake-on-lan aus ???

I2 >> http://www.i-i.at

wol müsste funktionieren

zur not kanst (nachdem dich per vpn angemeldet hast) am router per telnet wol versenden...

zum router kann ich nix sagen, ich hab dd-wrt mit pptp (das ist nicht SOO sicher, aber mir reicht das, ist vorallem einfacher..)

danke für die info - andere frage
http://forum.geizhals.at/t658689,5767120.html#5767120

I2 >> http://www.i-i.at

hm...eine ssh-verbindung mit port-weiterleitung wär vermutlich einfacher

Suchbild, wo ist der Kanarienvogel *gg*

Es gab ja schon genug Science-Fiction Filme in denen orakelt wurde, dass sich die Technik eines Tages gegen den Menschen richten wird. Dass dies allerdings in der barbarischen Form von Klingeltönen passieren wird, hat niemand vorher gesehen...

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung