VPN - was ist brauchbar, was nicht?

Die Sicherheit ist wichtiger Bestandteil beim Betrieb eines Home Servers, der mit dem Internet verbunden ist.
Antworten
egnurg
Foren-Mitglied
Beiträge: 106
Registriert: 10. Jul 2008, 08:48
Kontaktdaten:

VPN - was ist brauchbar, was nicht?

Beitrag von egnurg »

Hi Leute,

mal ne kleine Umfrage was man einsetzen kann und was nicht.
Fragt man sogenannte Experten, dann geht natürlich nur die teuerste Lösung mit Markenaufkleber auf dem Gehäuse (Lancom, Bintec, Cisco).

Also - welche Lösung für den Fernzugriff kann man in einer kleinen Firma einsetzen?
(5-10 Arbeitsplätze, 2 Remote-Arbeitsplätze)

1. RDP direkt freigeben (Portweiterleitung vom Router auf den entsprechenden PC, evtl. mit Port >10.000)
funktioniert problemlos und bis auf "darf man auf keinen Fall machen" ist mir noch nicht zu Ohren gekommen daß so eine Verbindung mal gehackt wurde.
Verbindung ist verschlüsselt, Protokoll MS-Geheimnis, angeblich wurden Anfangs Passwörter im Klartext übertragen, soll jetzt behoben sein.
Wichtig ist ein "gutes" Passwort.

2. VPN mit Fritz!-Box
Fritz-Box ist angeblich keine Profi-Lösung, ich wüsste aber nicht wo da das Problem sein sollte, in Tests stehen die Kisten teilweise besser da als deutlich teurere Router.
VPN funktioniert mit speziellem Client. Funktioniert manchmal nicht richtig und keiner weiss warum. Wenn es funktioniert dann ist es eine feine Sache. Aber etwas frickelig in der Einrichtung.

3. VPN mit SBS 2008/2011
funktioniert einwandfrei, soll man aber nicht. Konnte mir aber niemand erklären was daran schlecht ist. Ist irgendwie wie beim Windows-Backup - Profis verwenden "richtige Sicherungslösungen für xxx Euro", wo die Probleme beim eingebauten liegen konnte mir aber niemand sagen.

wenn kein SBS vorhanden und Fritz!-Box nicht funktioniert:
4. VPN mit Synology Diskstation (212 oder ähnlich) mit Portweiterleitung vom Router
2 verschiedene VPN-Protokolle möglich (Open-VPN). Funktioniert einwandfrei, Einrichtung in 5 Minuten. Sicherheit? Keine negativen Meldungen. Kiste ist günstig.

5. VPN mit Homeserver mit Portweiterleitung vom Router?
einsetzbar in Firmen oder eher nicht?

6. teuren Router von Lancom, Cisco, HP, etc. kaufen in dem VPN integriert ist.
sehe nicht ein, wo da der Vorteil zu einer der obigen Lösungen sein soll (wie gesagt <10 Arbeitsplätze).

Meine Meinung:
Fritz-Box ist für normale kleine Firmen ausreichend sicher, RDP direkt kann man drüber diskutieren ob das gut ist, aber die genannten VPN-Lösungen sind soweit alle brauchbar, kommt drauf an was einem persönlich am besten gefällt.

Andere Meinungen? Experten-Rat?

Danke.
Jochen

Homeserver-Eigenbau: Intel i7, 12GB RAM, Rebel9-Gehäuse, 18TB HDD + 4x2TB im Fantec-Gehäuse
Bilder + Beschreibung meines Homeservers: http://www.bastel-bastel.de/?id=homeserver
Meine Webseite: http://www.druckeronkel.de
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Re: VPN - was ist brauchbar, was nicht?

Beitrag von JoachimL »

egnurg hat geschrieben:1. RDP direkt freigeben (Portweiterleitung vom Router auf den entsprechenden PC, evtl. mit Port >10.000)
funktioniert problemlos und bis auf "darf man auf keinen Fall machen" ist mir noch nicht zu Ohren gekommen daß so eine Verbindung mal gehackt wurde.
Verbindung ist verschlüsselt, Protokoll MS-Geheimnis, angeblich wurden Anfangs Passwörter im Klartext übertragen, soll jetzt behoben sein.
Wichtig ist ein "gutes" Passwort.
MS hat im März und Mai Sicherheitslücken in RDP geschlossen, m.E. gehört RDP nur hinter die Firewall..
egnurg hat geschrieben:3. VPN mit SBS 2008/2011
funktioniert einwandfrei, soll man aber nicht. Konnte mir aber niemand erklären was daran schlecht ist. Ist irgendwie wie beim Windows-Backup - Profis verwenden "richtige Sicherungslösungen für xxx Euro", wo die Probleme beim eingebauten liegen konnte mir aber niemand sagen.
...
5. VPN mit Homeserver mit Portweiterleitung vom Router?
einsetzbar in Firmen oder eher nicht?
Es gibt beim WHS/Windows Server zwei Möglichkeiten für VPN. Die eine ist eine einzelne Netzwerkverbindung, da kann sich dann aber gleichzeitig nur ein einziger Benutzer einwählen, oder den Remote Access Server, da können dann mehrere, aber dafür muss man die Windows-Firewall deaktivieren. Das wiederum machen Profis nur auf einem dedizierten Server, egal ob Windows oder Hardware. Und dann muss der Server natürlich laufen, je nach Nutzung kann ein Router (2, 4 oder 6)deutlich weniger Energie verbrauchen.
egnurg hat geschrieben:2. VPN mit Fritz!-Box
Fritz-Box ist angeblich keine Profi-Lösung, ich wüsste aber nicht wo da das Problem sein sollte, in Tests stehen die Kisten teilweise besser da als deutlich teurere Router.
VPN funktioniert mit speziellem Client. Funktioniert manchmal nicht richtig und keiner weiss warum. Wenn es funktioniert dann ist es eine feine Sache. Aber etwas frickelig in der Einrichtung.
Fritzbox für eine symmetrische Netzwerkkopplung - OK. Proprietäre Clients würde ich nicht installieren wollen. So richtig transparent ist nicht, was AVM da konfiguriert..
egnurg hat geschrieben:4. VPN mit Synology Diskstation (212 oder ähnlich) mit Portweiterleitung vom Router
2 verschiedene VPN-Protokolle möglich (Open-VPN). Funktioniert einwandfrei, Einrichtung in 5 Minuten. Sicherheit? Keine negativen Meldungen. Kiste ist günstig.
...
6. teuren Router von Lancom, Cisco, HP, etc. kaufen in dem VPN integriert ist.
sehe nicht ein, wo da der Vorteil zu einer der obigen Lösungen sein soll (wie gesagt <10 Arbeitsplätze).
Du kannst auch OpenWRT Router nehmen, die kommen oft günstiger und können das auch. Bei mir läuft OpenVPN auf OpenWRT, denn damit geht auch Briding, nicht nur Routing - wobei Bridging wiederum eher für Heimanwender interessant ist, aber u.U. sparst Du Dir den DNS Server.

Generell: VPN gibt es in verschiedene Varianten, PPTP, L2TP, IPSEC, die sich in Authentifizierungsverfahren und Sicherheit unterscheiden. Generell würde ich immer eine Lösung vorziehen, die ganze Netzwerke verbindet, weil dann kennt nur der Netzwerkadministrator die Schlüssel oder Zertifikate, und es entfällt das Installieren von Clients auf den Endgeräten. Bei mobilen Benutzern ist das natürlich unmöglich, bekommt dann jeder eigene Zugangsdaten oder ein eigenes Zertifikat?
Verfahren die auf Geheimhaltung des Algorithmus beruhen bieten idR keine verlässliche Sicherheit, ich würde daher immer auf Standards oder offene Software setzen. Neben der Sicherheit spielen auch Usability, Performance, Reliability, und ggfs. Anschaffungskosten eine Rolle.

Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
Antworten