Welches VPN-Protokoll ist sicher / soll ich benutzen?

... komplette Frage anzeigen

3 Antworten

Ich habe einen Pi mit OpenVPN konfiguriert und kann mich problemlos mit Android 4.x, 2.3, Win7 und Ubuntu 14.04 verbinden.

PPTP gilt inzwischen als unsicher. L2TP ist o.k. Beides sind sogenannte Layer-2-Tunnel-Protokolle. Sie verursachen einen erheblichen Overhead. Beide sind per se unverschlüsselt. Die Bordmittel von Windows wollen deshalb immer L2TP mit IPSec machen. Das habe ich auch mal auf einem Linux-Rechner aufgesetzt, ist aber aufwändiger. Vorteil ist, dass man mit Bordmitteln von Windows auskommt und keinen separaten Client installieren muss. Bei Ubuntu musste ich ein entsprechendes Plugin für den Network Manager installieren, wenn ich mich richtig erinnere. Wie man mit einem Mobilgerät (Android, iOS) einen L2TP-Tunnel aufbaut, habe ich noch nie getestet. Bei Android 4.x finde ich spontan nur IPSec mit XAUTH.

OpenVPN ist bei sorgfältiger Konfiguration sicher. Unsichere Ciphers sollte man natürlich deaktivieren. OpenVPN kann man mit relativ geringem Aufwand auch mit Zertifikaten nutzen, das erhöht die Sicherheit. Anleitungen dazu gibt es haufenweise im Internet.

IPSec ist zwar auch relativ weit unterstützt, aber von der Konfiguration manchmal etwas sperrig. Mit Windows-Bordmitteln musst Du zusätzlich L2TP verwenden, weil dort von Haus aus kein XAUTH (extended Authentication) unterstützt wird. XAUTH gehört eigentlich nicht zum Standard und ist ans IPSec herangeflickt worden. Seit einiger Zeit unterstützt Windows mit den Bordmitteln auch IKEv2, dann erübrigt sich L2TP. IKEv2 hat die nötigen Authentisierungsmechanismen integriert. Meist wird StrongSwan als IPSec-Implementierung auf Linux-Systemen eingesetzt, das unterstützt mittlerweile IKEv2.

Ich würde Dir zu OpenVPN raten, da bist Du ziemlich universell, was die unterstützten Plattformen angeht und der Konfigurationsaufwand hält sich in Grenzen. Sicherheitsbedenken gibt es weder bei OpenVPN noch bei IPSec, sorgfältige Konfiguration vorausgesetzt.

Super wäre es, wenn nicht nur die Netzwerkverkehr also Zugriffe auf das Heimnetz über das VPN sondern alle Daten darüber geroutet werden...

Das kann man mit jeder Art VPN erreichen. Das ist eine Frage des Routings. Konfiguration des OpenVPN-Servers mit getunneltem Zugriff auf das Heimnetz (nennt sich Split Tunnel):

push "dhcp-option DNS 192.168.1.1"
push "route 192.168.1.0 255.255.255.0"

OpenVPN-Konfiguration allen Daten getunnelt (ohne Split Tunnel):

push "redirect-gateway local def1"
push "dhcp-option DNS 192.168.1.1"

DNS und Netzadresse samt Subnetzmaske musst Du natürlich ggf. anpassen.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von SYSCrashTV
08.12.2015, 18:00

Danke dass du dir ein wenig Zeit für mich genommen hast!

Ich habe nicht alles so auf Anhieb verstanden und bin gerade auch sehr ausgelastet, daher würde ich mich bei Gelegenheit nochmal an dich wenden.

LG Max

0

PPTP sollte heutzutage nur noch im Notfall genutzt werden, da die Verschlüsselung (mit viel Rechenaufwand) geknackt werden kann. Es gibt sogar Dienste wie Cloudcracker, die dir innerhalb von wenigen Stunden für ein paar Dollar jedes mögliche PPTP Passwort herausfinden können.

OpenVPN mit 192 oder 256 bit AES-CBC Verschlüsselung und einer Schlüssellänge von 2048 bit gilt weiterhin als sehr sicher, auch IPSec ist von der Sicherheit vergleichbar, verträgt sich aber oft  weniger gut mit Firewalls und ist auch etwas komplizierter einzurichten. Für die meisten Anwendungen ist meiner Meinung nach OpenVPN die beste Wahl.

Antwort bewerten Vielen Dank für Deine Bewertung

SSTP ist sicherer als alle VPN-Protokolle. Man hat es für Sicherheit gemacht.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von franzhartwig
09.12.2015, 08:31

Andere VPN-Protokolle wurden auch für die Sicherheit gemacht. SSTP ist nichts anderes als PPP über SSL/TLS. OpenVPN z.B. verwendet ebenfalls SSL/TLS. Wo ist da jetzt der Unterschied in der Sicherheit? Die zur Verfügung stehenden Verschlüsselungs- und Hash-Algorithmen bei IPSec und SSL/TLS und damit auch bei SSTP sind identisch. Wo ist da jetzt der Unterschied bei der Sicherheit? Die Implementierungen von SSL/TLS, OpenVPN und IPSec gelten derzeit als sicher. Auch wenn SSTP schon rund acht Jahre alt ist, habe ich es noch nie im Einsatz gesehen. OpenVPN, SSL/TLS, IPSec, L2TP/IPSec werden hingegen massenhaft eingesetzt. Woher kommt das? Der Grund ist ganz einfach: SSTP ist ein proprietäres Protokoll von Microsoft. Server-Implementationen stehen meines Wissens ausschließlich auf Windows-Servern zur Verfügung. Erschwerend kommt hinzu, dass SSTP SSL 3.0 einsetzt. SSL 3.0 gilt inzwischen als unsicher. SSTP kann mal also nicht als sicher bezeichnen.

1

Was möchtest Du wissen?