Frage von SYSCrashTV, 214

Welches VPN-Protokoll ist sicher / soll ich benutzen?

Hallo, ich habe bis jetzt immer das Problem gehabt, dass ich mit meiner Fritz!Box nur eine Verbindung auf dem Handy verstellen konnte, da die FB IPSec xAuth PSK verwendet hat. Mit unser EasyBox, welche OpenVPN verwendet kann ich nun auf dem PC eine Verbindung herstellen, aber auf dem Handy nicht, da TAP nicht unterstützt wird.

Nun habe ich mir einen Rasberry Pi zugelegt und habe nun vor diesen mit einem VPN-Server auszustatten und so von den beiden Geräten aus dem Internet ins LAN zu kommen. Nun habe ich mich ein wenig schlaugemacht. und habe nun 2 Unterschiedliche Protokolle gefunden: L2TP und PPTP. Welches davon bietet mehr Sicherheit oder tun die auch noch was unterschiedliches? Super wäre es, wenn nicht nur die Netzwerkverkehr also Zugriffe auf das Heimnetz über das VPN sondern alle Daten darüber geroutet werden...

Hilfreichste Antwort - ausgezeichnet vom Fragesteller
von franzhartwig, 163

Ich habe einen Pi mit OpenVPN konfiguriert und kann mich problemlos mit Android 4.x, 2.3, Win7 und Ubuntu 14.04 verbinden.

PPTP gilt inzwischen als unsicher. L2TP ist o.k. Beides sind sogenannte Layer-2-Tunnel-Protokolle. Sie verursachen einen erheblichen Overhead. Beide sind per se unverschlüsselt. Die Bordmittel von Windows wollen deshalb immer L2TP mit IPSec machen. Das habe ich auch mal auf einem Linux-Rechner aufgesetzt, ist aber aufwändiger. Vorteil ist, dass man mit Bordmitteln von Windows auskommt und keinen separaten Client installieren muss. Bei Ubuntu musste ich ein entsprechendes Plugin für den Network Manager installieren, wenn ich mich richtig erinnere. Wie man mit einem Mobilgerät (Android, iOS) einen L2TP-Tunnel aufbaut, habe ich noch nie getestet. Bei Android 4.x finde ich spontan nur IPSec mit XAUTH.

OpenVPN ist bei sorgfältiger Konfiguration sicher. Unsichere Ciphers sollte man natürlich deaktivieren. OpenVPN kann man mit relativ geringem Aufwand auch mit Zertifikaten nutzen, das erhöht die Sicherheit. Anleitungen dazu gibt es haufenweise im Internet.

IPSec ist zwar auch relativ weit unterstützt, aber von der Konfiguration manchmal etwas sperrig. Mit Windows-Bordmitteln musst Du zusätzlich L2TP verwenden, weil dort von Haus aus kein XAUTH (extended Authentication) unterstützt wird. XAUTH gehört eigentlich nicht zum Standard und ist ans IPSec herangeflickt worden. Seit einiger Zeit unterstützt Windows mit den Bordmitteln auch IKEv2, dann erübrigt sich L2TP. IKEv2 hat die nötigen Authentisierungsmechanismen integriert. Meist wird StrongSwan als IPSec-Implementierung auf Linux-Systemen eingesetzt, das unterstützt mittlerweile IKEv2.

Ich würde Dir zu OpenVPN raten, da bist Du ziemlich universell, was die unterstützten Plattformen angeht und der Konfigurationsaufwand hält sich in Grenzen. Sicherheitsbedenken gibt es weder bei OpenVPN noch bei IPSec, sorgfältige Konfiguration vorausgesetzt.

Super wäre es, wenn nicht nur die Netzwerkverkehr also Zugriffe auf das Heimnetz über das VPN sondern alle Daten darüber geroutet werden...

Das kann man mit jeder Art VPN erreichen. Das ist eine Frage des Routings. Konfiguration des OpenVPN-Servers mit getunneltem Zugriff auf das Heimnetz (nennt sich Split Tunnel):

push "dhcp-option DNS 192.168.1.1"
push "route 192.168.1.0 255.255.255.0"

OpenVPN-Konfiguration allen Daten getunnelt (ohne Split Tunnel):

push "redirect-gateway local def1"
push "dhcp-option DNS 192.168.1.1"

DNS und Netzadresse samt Subnetzmaske musst Du natürlich ggf. anpassen.

Kommentar von SYSCrashTV ,

Danke dass du dir ein wenig Zeit für mich genommen hast!

Ich habe nicht alles so auf Anhieb verstanden und bin gerade auch sehr ausgelastet, daher würde ich mich bei Gelegenheit nochmal an dich wenden.

LG Max

Antwort
von Johnbert, 118

PPTP sollte heutzutage nur noch im Notfall genutzt werden, da die Verschlüsselung (mit viel Rechenaufwand) geknackt werden kann. Es gibt sogar Dienste wie Cloudcracker, die dir innerhalb von wenigen Stunden für ein paar Dollar jedes mögliche PPTP Passwort herausfinden können.

OpenVPN mit 192 oder 256 bit AES-CBC Verschlüsselung und einer Schlüssellänge von 2048 bit gilt weiterhin als sehr sicher, auch IPSec ist von der Sicherheit vergleichbar, verträgt sich aber oft  weniger gut mit Firewalls und ist auch etwas komplizierter einzurichten. Für die meisten Anwendungen ist meiner Meinung nach OpenVPN die beste Wahl.

Antwort
von Akmalfort, 120

SSTP ist sicherer als alle VPN-Protokolle. Man hat es für Sicherheit gemacht.

Kommentar von franzhartwig ,

Andere VPN-Protokolle wurden auch für die Sicherheit gemacht. SSTP ist nichts anderes als PPP über SSL/TLS. OpenVPN z.B. verwendet ebenfalls SSL/TLS. Wo ist da jetzt der Unterschied in der Sicherheit? Die zur Verfügung stehenden Verschlüsselungs- und Hash-Algorithmen bei IPSec und SSL/TLS und damit auch bei SSTP sind identisch. Wo ist da jetzt der Unterschied bei der Sicherheit? Die Implementierungen von SSL/TLS, OpenVPN und IPSec gelten derzeit als sicher. Auch wenn SSTP schon rund acht Jahre alt ist, habe ich es noch nie im Einsatz gesehen. OpenVPN, SSL/TLS, IPSec, L2TP/IPSec werden hingegen massenhaft eingesetzt. Woher kommt das? Der Grund ist ganz einfach: SSTP ist ein proprietäres Protokoll von Microsoft. Server-Implementationen stehen meines Wissens ausschließlich auf Windows-Servern zur Verfügung. Erschwerend kommt hinzu, dass SSTP SSL 3.0 einsetzt. SSL 3.0 gilt inzwischen als unsicher. SSTP kann mal also nicht als sicher bezeichnen.

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten