VPN - ich guugl ja, aber ich find nix!

VPN - ich guugl ja, aber ich find nix! (36 Beiträge, 1184 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo Leute,

ich machs mir ja nicht leicht und such seit Ewigkeiten nach HowTos, FAQs etc. - aber ich weiß gar nicht genau, wonach ich suchen soll.

Aufgabe: Möchte mein "Homematic"-Haussteuerungssystem übers Internet erreichen per VPN.

Habe A1-DSL, daran Linksys WRT 54 GL mit Tomato 1.28 VPN, daran hängen Rechner und eben die Homematic. DHCP ist an, ich kann die Homematic über Rechner im LAN / WLAN erreichen und steuern.

Ist das jetzt ur kompliziert, einen DynDNS-Dienst einzurichten, die Daten in den Router einzutragen, das VPN am iphone zu konfigurieren und dann auf mein Heimnetz zuzugreifen?! Ich komm nicht weiter.

Habe Accounts bei DTDNS.COM und freedns.afraid.org.

Muss man unter Tomato nur was bei Basic - Dynamic DNS eintragen? Oder bei VPN Tunneling Server? Oder beides?
Wen wer einen guten Link hat zu einer Anleitung, bitte her damit. Möchte wie gesagt einfach nur übers iphone per VPN aufs Heimnetz zugreifen.
Danke!

wenn du nur 1-2 Ports / Dienste (Webinterface nehm ich an) brauchst, dann reicht ein einfacher DynDNS + Port-Forwarding, speziell wenn es über https geht.
VPN ist dann ein Muß, wenn keine andere Verschlüsselung + Authentifizierung erfolgt.

Für Port-Forwarding (je nachdem Port-Weiterleitung, -Redirection, Reverse-NAT o.ä. genannt und unter Firewall-Einstellungen versteckt) mußt du dem internen Gerät eine fixe IP geben, kein DHCP.

Meist ist es den Webinterfaces wurscht, wenn sie extern einen anderen Port als intern haben ("Port NAT", also zB extern 3448 -> intern 8443), denn die well known ports werden natürlich als erstes/immer von Bösewichtern gescannt.

extern hast du dann zB https://homeauto.dtdns.com:3448 -> Tomato übersetzt dir auf intern https://192.168 .x.10

Falls doch VPN - für IOS gibt es inzwischen einen OpenVPN-Client, da verweise ich aber auf die entsprechenden Dokus. Glaube auch nicht, daß es für dein Szenario nötig ist.

Danke!
Leider doch nötig - die Homematic via DynDNS ans Netz weiterzuleiten - davon wird aus Sicherheitsgründen strikt abgeraten von Leuten, die sich auskennen und die meinen, selbst bei Https wäre die Homematic bzw. ihr WebUI zu unsauber programmiert usw. - wenn übers Internet die Hittn steuern, dann VPN.

Es gibt einen kostenpflichtigen Dienst hierfür, da hab ich jetzt mal den 30-tage-trial angefangen, funktioniert super. Kostet auch nicht die Welt (24 € / Jahr), aber so ein Nudlaug bin ich mit solchen Dingen auch wieder nicht, dass ich nicht ein VPN auch hinkriegen können sollte. Dachte ich jedenfalls.
Hab jedenfalls meinen WRt54GL mit Tomato geflasht, das rennt schon mal sehr gut.
Einen DynDNS Dienst einzurichten und auf meine dynamische IP verweisen zu lassen krieg ich auch noch hin.
VPN kann das iphone doch ohnehin, denke ich.

Leider doch nötig - die Homematic via DynDNS ans Netz weiterzuleiten - davon
wird aus Sicherheitsgründen strikt abgeraten von Leuten, die sich auskennen
und die meinen, selbst bei Https wäre die Homematic bzw. ihr WebUI zu unsauber
programmiert usw. - wenn übers Internet die Hittn steuern, dann VPN.

faszinierend, denn normalerweise läuft das mit https so, daß man host-seitig, also im Gerät, das die Seite serviert, eine fixfertige OpenSSL-Bibliothek in den Webserver integriert - die werden das doch nicht selbst von Hand programmiert haben?
Na wie auch immer:

Als weitere Variante, die ich sehr gerne hab, könnte man einen SSH-Tunnel bis zum WRT54 aufbauen und auf dieser Ebene den Port weiterleiten, aber entsprechenden IOS-Client weiß ich keinen aus dem Stegreif.

VPN kann das iphone doch ohnehin, denke ich.

äääähhhh - jein. Mit der Thematik hab ich schon mehrere Wochen verbracht

Kurzum: Die serienmässige VPN-Unterstützung kannst du ohne OSX-Server oder teure VPN-Appliance (Cisco, Juniper) als Gateway vergessen, weil die keine out-of-the-box Linux-kompatible IPsec-Implementierung benutzen.

Optimale Alternative: OpenVPN, gibt es seit Jahresanfang für IOS (Version 1.01 im AppStore, gratis) + das werkelt ganz brav.
Bin grade dran, OpenWRT als Server dafür zu konfigurieren - ist zwar nicht übermässig kompliziert, aber etwaige Stolpersteine sind gerne dabei = wenn du also noch 1-2 Tage Geduld hast ....

äääähhhh - jein. Mit der Thematik hab ich schon mehrere Wochen
verbracht Kurzum: Die serienmässige VPN-Unterstützung kannst du ohne
OSX-Server oder teure VPN-Appliance (Cisco, Juniper) als Gateway vergessen,
weil die keine out-of-the-box Linux-kompatible IPsec-Implementierung benutzen.

Das möchte ich nicht so stehen lassen.
Ich verwende IPSEC/L2TP am iPhone mit OpenWRT um mich nach Hause zu verbinden.
Es geht auch ohne teuere Hardware

Ich verwende IPSEC/L2TP am iPhone mit OpenWRT um mich nach Hause zu verbinden.
Es geht auch ohne teuere Hardware

ich weiß, daß inzwischen durchgesickert ist, mit welchen Tricks es trotzdem geht (AFAIR war der entsprechende c't-Artikel erst dieses Frühjahr) - deshalb schrieb ich ja "keine out-of-the-box Linux-kompatible IPsec-Implementierung".

Vor 2 Jahren haben wir sehr viel Zeit erfolglos damit verbracht, es zum Laufen zu bringen, da fehlten allerlei Infos, und wir mußten lowlevel analysieren, woran es scheitert und wir haben dann vorerst darauf verzichtet. Inzwischen ist ein OSX-Server im Einsatz und beide VPNs konfiguriert.

PPtP zB. hätte damals zwar auch soweit geklappt, dem fehlten aber einige Features, auf die wir nicht verzichten konnten (Spezialfall - anderes Thema).

Kenne leider den c't Artikel nicht, deswegen kann ich dazu nichts sagen.
Aber Tricks hatte ich keine gebraucht.
Auf der Clientseiten muss man nur die Daten eingeben und es funktioniert.
Serverseitig war allerdings doch einiges an Debugging nötig.
Verwende die Konfiguration aber sicher schon seit über ein Jahr.
Anfangs gab es Schwierigkeiten wenn man Drei als Provider(Handy) hatte,
da hat es einfach nicht funktioniert. Aber die scheinen irgendwas umgestellt zuhaben, sodass es dann ging.

Out-of-the-box und Linux passt sowieso nicht zusammen

Aber wenn du damit meinst, ich klicke auf die Checkbox und es funktioniert, hast du wohl recht.

Aber Tricks hatte ich keine gebraucht.
Auf der Clientseiten muss man nur die Daten eingeben und es funktioniert.

darf ich nachhaken, mit welcher OpenWRT-Version es geklappt hat?

Serverseitig war allerdings doch einiges an Debugging nötig.

dacht ich's doch

da hat es einfach nicht funktioniert. Aber die scheinen irgendwas umgestellt
zuhaben, sodass es dann ging.

gerade bei Mobil-Netzen werden halt gerne Ports oder Protokolle blockiert.
Meist wird das dann umgangen, indem Port 80 o.ä. mißbraucht wird.

Out-of-the-box und Linux passt sowieso nicht zusammen

nicht immer, aber immer öfter

darf ich nachhaken, mit welcher OpenWRT-Version es geklappt hat?

Mit Backfire bin ich in die OpenWRT Welt eingestiegen.

Mit Backfire bin ich in die OpenWRT Welt eingestiegen.

hm ... hab leider grad kein IOS-Trumm zur Hand, um es gegen meine Backfire-Kiste zu testern

so Geschichten, die irgendwann trotz 3 Wochen experimentieren nicht geklappt haben, nagen an einem, selbst wenn das Problem inzwischen anders gelöst wurde

Es geht ja nicht um die Sicherheit von SSL sondern um die Sicherheit des
Webinterfaces des Homematic Systems. Die Verbindung selbst ist natürlich SSL
gesichert aber deswegen ist das Webinterface nicht automatisch "sicher".

?!?!?
bei HTTP <-> HTTPS ist es im Grunde wurscht, ob der SSL-Layer im selben Server oder auch extern drübergestülpt wird (SSL-Proxy, zB per nginx recht beliebt), bei OpenVPN würde SSL halt eine transparente Ebene drüber laufen.

Ist halt die Frage, wo die Angreifbarkeit tatsächlich ansetzt.

Den Poster geht es darum den Zugang zum Webinterface einzuschränken (VPN
erfordert eine Authentifizierung). Das Webinterface via SSL zu verschlüsseln
verhindert nicht das irgendwer anderer auf das Webinterface kommt.

Verschlüsselung und Authentifizierung sind technisch im Grunde 2 Paar Schuhe.

Ohne SSL ist der Login abhörbar. Eine VPN wird sich natürlich hüten, eine unverschlüsselte Authentifizierung, also ohne Diffie-Hellman oder PKI zu implementieren (Kryptoscheff vermutlich ausgenommen

)

Wenn es um eine zusätzliche Authentifizierung wäre, könnte man mit einem Reverse Proxy (apache2 + mod_proxy, nginx) auch lösen - Vorteil wäre in dem Fall, daß man keinen speziellen Client braucht.

Ich hab' mein site-to-site-VPN mit zwei Tomato-Routern seinerzeit nach dieser Anleitung eingerichtet: http://www.wasagacomputers.com/home/2010/8/10/tutorial-site-to-site-vpn-using-tomato-firmware-and-openvpn.html

Du brauchst nur den Client-Teil (der sich ja auf einen Router bezieht) wegzulassen und das war's. Zur Einrichtung Deines Mobiltelephons kann ich Dir keine Tips geben, bei unseren Android-Geräten war's ein Kinderspiel und bei Apple sollte es eigentlich noch einfacher sein.

HTH
Peter

Zur Einrichtung Deines Mobiltelephons kann ich Dir keine Tips geben, bei
unseren Android-Geräten war's ein Kinderspiel und bei Apple sollte es
eigentlich noch einfacher sein.

da kann ich aushelfen:

der IOS-Client braucht ein sogenanntes "unified"-Konfigurationsfile, also ein (früher .conf, heute immer häufiger) .ovpn-File mit integrierten Zertifikat, siehe hier: https://community.openvpn.net/openvpn/wiki/IOSinline.

Diese Konfig kann man entweder mit itunes direkt beim Syncen der OpenVPN-App zuweisen (nur eben dieses eine .ovpn File) oder zB per Mail schicken und lokal importieren. Der Client muß dann über das App-Symbol gestartet werden, NICHT über den VPN-Switch in den Einstellungen!

Achtung: die oft verlinkte und beschrieben Version GuizmoVPN ist eine ältere Portierung für Geräte mit jailbreak!

Es gibt einen kostenpflichtigen Dienst hierfür, da hab ich jetzt mal den
30-tage-trial angefangen, funktioniert super. Kostet auch nicht die Welt (24 €
/ Jahr), aber so ein Nudlaug bin ich mit solchen Dingen auch wieder nicht

Die 2 haben ja auch nichts miteinander zum tun..

Wenn du von einem normalen kostenpflichtigen VPN sprichst, dann wählst du dich bei dem ein und du surfst dann über diese IP.
Dh, dein Traffic, etc wird verschlüsselt und nach außen hin erscheint diese IP.

Wenn du dich mit deinem Phone einwählst, wirst du sicher nicht im gleichen Netz sein, wie dein PC, außer der Hersteller unterstützt mehrere Einwahlen mit gleichen User.
Wenn du im gleichen Netz wärst, wären alle Kunden im gleichn Netz/Subnetz und das hat dann nichts mehr mit Sicherheit zum tun

Du willst aber am Router einen VPN Server laufen lassen und dich via Phone zu diesem Verbinden. Bei Telefonen weiß ich, dass das PPTP-VPN am Besten läuft. OpenVPN kann hier und da mal Probleme machen..
...

Apple Fans sind wie Zeugen Jehovas. Es ist sinnlos mit ihnen zu reden..

Why not ZOIDBERG? (V)_(°,,,°)_(V)
(-.(-.(-.(-.-).-).-).-)

Man kann es sich auch absichtlich kompliziert machen.

Du kannst am A1 Modem/Router direkt den DynDNS Dienst eintragen.

Karawanken

Bär

DynDNS - ja, aber VPN??

Vergiss es! Mit deinem Tomato Router kannst du maximal OpenVPN verwenden. Das ist so ziemlich das komplizierteste was es überhaupt gibt. Die ganzen Schlüssel, die du für OpenVPN brauchst, musst du nämlich erst generieren und das will gelernt sein! Dann musst du die auch noch überall richtig eintragen. Wenn du das dann geschafft hast, darfst du dich auch noch um die richtige Netzwerk Konfiguration kümmern. Automatisch geht da gar nix!

Ich hab mich auch eine Zeit lang damit beschäftigt, aber es dann letztendlich aufgegeben, da ich auch noch ein Leben habe. Am Einfachsten ist es, wenn du dir eine Fritzbox kaufst und dir ein IPSec VPN konfigurierst. Das geht kinderleicht und ist super sicher. Nachteil: Die Fritzboxen sind etwas teurer als die Frickel-Router.

Umgekehrt wird ein Schuh draus: mit XP-Bordmitteln IPsec als Client konfigurieren - da kann man sich gleich die Kugel geben = DAS ist frickeln! Soviel herumgeklickt, weil die Konfiguration dazu kreuz und quer verstreut war, hab ich selten.

Klar: den openssl-Tools fehlt bis heute ein ordentliches Frontend, aber immerhin kann man von den gängigen Anleitungen weg mit Cut&Paste zum Ziel kommen und die Verwendung von Zertifikaten ist auch nicht zwingend.

IPsec ist verdammt mächtig, aber auch außerordentlich komplex, wenn man es ausreizen möchte, und unter JEDER Plattform anders zu konfigurieren und dann auch nicht überall mit demselben Funktionsumfang verfügbar.
Einfach zu konfigurieren war IPsec lediglich unter OSX-Server + OSX-/IOS-Clients.

Mit OpenVPN ist es vergleichsweise einheitlich + plattformübergreifend kompatibel.

Dein Versuch IPSec kompliziert zu reden, schlägt leider fehl. Am Router ist es mit 4-5 Klicks eingerichtet.
Unter Windows 7 und 8, OS X und iOS gibts ein nettes Menü das dir die Einrichtung am Client vereinfacht.

mit XP-Bordmitteln

Bitte wer verwendet noch XP? Da gibts doch schon bald keinen Support mehr!

Unter Windows 8 geht das heute so:
http://www.hideipvpn.com/2012/03/howto-windows-8-l2tp-ipsec-vpn-setup-tutorial/

Ganz ohne Zusatzprogramme und einfach!

Mit OpenVPN ist es vergleichsweise einheitlich + plattformübergreifend
kompatibel.

Aber weil wir gerade bei Bordmitteln sind, Kann man OpenVPN mit Windows oder OS X Bordmitteln konfigurieren? Nein!

Also hast du schon recht! Es ist einheitlich! Einheitlich kompliziert.

Dein Versuch IPSec kompliziert zu reden, schlägt leider fehl. Am Router ist es
mit 4-5 Klicks eingerichtet.

mit Verlaub: ich hab großen Respekt vor IPsec und befürworte natürlich, daß IPv6 (dessen Features es teils auf IPv4 rückportiert) endlich Sache wird. Aber daran wird man endlich einmal konsequent arbeiten müssen (was irgendwie nicht passiert....)

Aber OpenVPN schlechtzureden, obwohl es IMHO einen schlanken Ansatz mir unbestreitbaren Vorteilen bietet, ist auch nicht sachlich.

IPsec IST mit seinen Konzepten nicht trivial = die verschiedenen Modi (Tunnel- und Transport-), AH und ESP, ... das ist für jemanden ohne fachliche Ausbildung nicht so im Vorbeigehen zu kapieren und automatisch passend umsetzbar, bzw. siehe auch http://de.wikipedia.org/wiki/Ipsec#Kritik_an_IPsec

-> der Satz bringt es gut auf den Punkt: "Neben der Art, wie es entstand, wird vor allem die hohe Komplexität und damit Fehleranfälligkeit kritisiert. Allerdings stellten beide auch fest, dass IPsec das ursprüngliche IP zur Zeit am besten absichert."

Ich weiß nicht, wievlel technischen Background du hast, aber nur weil etwas durch Klickibunti für einen bestimmten Anwendungsfall leicht zu konfigurieren ist, ist es nicht automatisch super.
Klar: das kann man jetzt auch bzgl. OpenVPN debattieren. Der Ansatz mit tun/tap-Device ist jedenfalls elegant (und hat IMHO beim Konfigurieren der Firewall/iptables Vorteile), die OpenSSL ist ein bewährtes, einheitliches Toolset und die Implementierung an sich IST eben trotz aller Features ( sternförmige, Host-to-Host, Net-to-net, Client-to-Client usw.) kompakt genug, um auch von vielen embedded-Geräten ohne funktionale Einschränkungen geschultert zu werden.

Schau: du redest von der Theorie. Ich rede von der Praxis. In der Theorie ist OpenVPN sicher eine tolle Sache. Es ist aber so kompliziert, dass man es ohne Informatik Studium kaum einrichten kann. IPSec mag ein paar fehler haben, aber "it gets the Job done"! Es funktioniert und ist (gemessen an OpenVPN) einfach einzurichten.

Ich hab zB ein IPSec VPN einrichten können, ohne dass ich irgendeine Ahnung von dem habe, worüber du in deinem Beitrag da schreibst. Aus dem Grund kann und will ich mich auf eine technische Diskussion nicht weiter einlassen.

Mir war nur wichtig, dass es sicherer als PPTP und schnell eingerichtet ist.

Ich hab zB ein IPSec VPN einrichten können, ohne dass ich irgendeine Ahnung
von dem habe, worüber du in deinem Beitrag da schreibst.

vs.

"it gets the Job done"

ja - zufällig, in deinem Fall.
Aber es gibt bei VPNs eine Reihe von Anwendungsfällen, die dem non-Pro nicht bewußt sind, sprich: Behandlung (Filtern oder Weiterleiten?) von Layer2/UDP/Multicast, eben die Topologie, die Frage ob extra Subnetz oder "Verlängerung" des vorhandenen, ...

Schön, daß es für dich schnell funktioniert hat, aber wenn es nicht zufällig sofort für deine Bedürfnisse und Anforderungen gepaßt hätte, wieviel Aufwand hättest du dann reinstecken müssen, um weiterzukommen? Du kannst mir glauben: mit IPsec können selbst absolute Pro's mehrere Tage verplempern!

So wie ich den OP verstehe, gehts ihm nicht darum komplizierte Netzwerktopologien zu verbinden. Er will sich einfach in sein Heimnetz einwählen. Darür ist die von mir vorgeschlagene Lösung ideal, weil genau auf diesen Anwendungsfall die Klickbunti Tools ausgerichtet sind. Für die überwiegende Mehrheit der Privatnutzer ist das auch der wichtigste Anwendungsfall für ein VPN.

Bei komplexeren Sachen (site to site VPN, mehrere Subnets, etc) braucht man sowieso einen Fachmann, egal ob man OpenVPN oder IPSec einsetzt.

So wie ich den OP verstehe, gehts ihm nicht darum komplizierte
Netzwerktopologien zu verbinden. Er will sich einfach in sein Heimnetz
einwählen. Darür ist die von mir vorgeschlagene Lösung ideal, weil genau auf
diesen Anwendungsfall die Klickbunti Tools ausgerichtet sind.

bis auf die Tatsache, daß er eben nicht nach einem neuen, teuren Gerät gefragt hat, sondern nach einer Lösung, die er mit seiner vorhandenen Tomato umsetzen kann (und viele Nutzer auch erfolgreich haben)

weil genau auf diesen Anwendungsfall die Klickbunti Tools ausgerichtet sind.
Für die überwiegende Mehrheit der Privatnutzer ist das auch der wichtigste
Anwendungsfall für ein VPN.

bleiben wir realistisch: das Klickibunti-Tool nützt dir schon in dem Moment nichts, wo dir das Providermodem/-router den Port nicht wie gewünscht/erwartet durchreicht oder das gewünschte Protokoll vom VPN-GW nicht transparent gehandhabt wird und man lowlevel austesten muß, auf welchem Layer es hakt.

Man wird sich also in den überwiegenden Fällen zumindest mit den Grundlagen beschäftigen müssen.

Aber IPsec als einfacher als OpenVPN zu darzustellen - na ich wünsch dir weiterhin viel Erfolg mit deiner Glückssträhne

Deswegen hängt man die Fritzbox ja auch direkt als Modem an den DSL anschluss. Dann gibts keine Probleme beim Port Forwarding. Wie gesagt, so schaut das Setup der Meisten aus und so funtionierts dann auch.

Deswegen hängt man die Fritzbox ja auch direkt als Modem an den DSL anschluss.
Dann gibts keine Probleme beim Port Forwarding.

????? sag mal, bist du sicher, daß du weißt, wovon zu redest?!??
hast du überhaupt eine Ahnung, was zwischen Netzwerkgeräten aller Art so abläuft oder gehst du davon aus, daß, wenn es für dich gut klappt, es automatisch + grundsätzlich eine funktionierende, narrensichere Angelegenheit sein muß?!?!?

Vielleicht solltest du Ratschläge geben den Leuten überlassen, deren Erfahrung nicht nur auf spontanen, kontextuell beschränkten Erfolgen basiert.

Oha! Wieso flippst du da jetzt so aus? Ich habe nur jemandem, der ein ähnliches Problem hat wie ich es hatte, helfen wollen.

Ich bestreite ja gar nicht, dass auch IPSec kompliziert werden kann - aber ich sage, dass OpenVPN in jedem Fall kompliziert ist, auch in den simpelsten Netzwerkumgebungen.

Und ich postuliere, daß du zufällig einfach nur Glück hattest und zusätzlich andere Hardware brauchtest.

PS: du hast mich noch nicht ausflippen erlebt

16.07.2013, 17:20 Uhr - Editiert von user86060, alte Version: hier

vl. ein wenig subjektiv die meinung, aber ich würde den linksys router ganz einfach durch geeigneteres euqipment ersetzen.

mein tipp wäre hier für den privaten gebrauch ( wenns nicht so teuer sein soll ) mikrotik router und dann dementsprechend eine der angebotenen VPN dienste einrichten.

routerboard.com, dort findet du reseller in Ö. geht glaub ich auch auf amazon.

auch wenn der linksys an sich eine ganz nette sache ist, ich finde er taugt eher für klicki klicki gacki lulu systeme was, auch wenn die unix-cli (..) recht verlockend ist.

ansonsten kann ich dir nur high end geräte wie cisco, brocade, juniper empfehlen, die ich tag täglich konfiguriere

aber das ist wohl etwas übers ziel geschossen

)

OK, danke. Ich sehe schon, das ganze ist weitaus komplizierter als ich dachte - das ist offenbar der Grund, wieso es keine einigermaßen einfachen FAQs und HowTos im Internet gibt.
Dann werde ich eben einfach diesen 2,- / Monat - Dienst weiterhin verwenden, um meine Hausautomation fernzusteuern. (http://www.meine-homematic.de )

Sänks everyone!

Wo klemmt es denn überhaupt, bzw. wie weit bist Du schon?
Die o.a. Anleitung hat Dich nicht ans Ziel gebracht?

LG
Peter

Zyxel hat unterhalb der Zywall 2 einige nette IPsec-taugliche Router (Modelle 334/335 vor ein paar Jahren), die aber eben nur einen Teil implementieren und auch nicht deren Durchsatz haben, aber auch nicht teurer als Linksys&Co.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung