KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 23: | Zeile 23: | ||
==== IPSec VPN ==== | ==== IPSec VPN ==== | ||
{| | {| | ||
| | |Pbadokolle:|| IKE, ESP, NAT-Traversal | ||
|- | |- | ||
|Ports:|| 500/UDP (IKE), 4500/UDP (NAT-Traversal) | |Ports:|| 500/UDP (IKE), 4500/UDP (NAT-Traversal) | ||
|} | |} | ||
<br> | <br> | ||
IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen | IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen Pbadokollen, der sowohl für Site to Site als auch für End to Site, die von uns als Roadwarrior bezeichneten, Verbindungen eingesetzt werden kann. | ||
IPSec bringt aber einige Merkmale mit, die sich teilweise negativ auf den Aufbau und die Stabilität einer VPN Verbindung auswirken können. Insbesondere bei Verbindungen die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz. | IPSec bringt aber einige Merkmale mit, die sich teilweise negativ auf den Aufbau und die Stabilität einer VPN Verbindung auswirken können. Insbesondere bei Verbindungen die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz. | ||
In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE | In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE Pbadokolls nicht geändert. | ||
Um | Um tbadzdem eine möglichst Stabile Verbindung zu erstellen, hat sich der Einsatz von [[RSA-Keys_erstellen_und_verteilen | RSA-Schlüsseln]] statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt. | ||
==== SSL VPN ==== | ==== SSL VPN ==== | ||
{| | {| | ||
| | |Pbadokolle: || SSL, TLS | ||
|- | |- | ||
|Ports: || Standard 1194/UDP; Kann aber fast jeden freien Port und auch das | |Ports: || Standard 1194/UDP; Kann aber fast jeden freien Port und auch das Pbadokoll TCP nutzen. | ||
|} | |} | ||
<br> | <br> | ||
Zeile 48: | Zeile 48: | ||
==== L2TP VPN ==== | ==== L2TP VPN ==== | ||
{| | {| | ||
| | |Pbadokolle: || L2TP | ||
|- | |- | ||
|Ports: || 1701/UDP | |Ports: || 1701/UDP | ||
|} | |} | ||
<br> | <br> | ||
Das L2TP (Layer 2 Tunneling | Das L2TP (Layer 2 Tunneling Pbadokoll) ist eine Kombination aus den Pbadokollen PPTP (Point to Point Tunneling Pbadokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Pbadokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt. | ||
==== PPTP VPN ==== | ==== PPTP VPN ==== | ||
{{Hinweis|! Als nachgewiesenermaßen unsicheres | {{Hinweis|! Als nachgewiesenermaßen unsicheres Pbadokoll wird PPTP VPN von der UTM nicht mehr unterstützt.}} | ||
{{Einblenden | Angaben zu PPTP VPN anzeigen | ausblenden | true | dezent }} | {{Einblenden | Angaben zu PPTP VPN anzeigen | ausblenden | true | dezent }} | ||
Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN | Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Pbadokoll. Es wird dringend empfohlen dieses Pbadokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.''' | ||
<br> | <br> | ||
{| | {| | ||
| | |Pbadokolle:|| PPTP, GRE | ||
|- | |- | ||
|Ports:|| 1723/TCP | |Ports:|| 1723/TCP | ||
|} | |} | ||
<br> | <br> | ||
Das Point-to-Point Tunneling | Das Point-to-Point Tunneling Pbadocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.<br> | ||
Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation | Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation Pbadocol (GRE) gesteuert. | ||
</div> | </div> | ||
Zeile 78: | Zeile 78: | ||
! VPN-Art !! NAT !! style="text-align: center;" | ADSL/SDSL !!style="min-width: 80px; text-align: center;" | VDSL !! style="text-align: center;" | Kabelanschluss !! style="min-width: 80px; text-align: center;" | LTE !! style="text-align: center;" | UMTS | ! VPN-Art !! NAT !! style="text-align: center;" | ADSL/SDSL !!style="min-width: 80px; text-align: center;" | VDSL !! style="text-align: center;" | Kabelanschluss !! style="min-width: 80px; text-align: center;" | LTE !! style="text-align: center;" | UMTS | ||
|- | |- | ||
| rowspan="3" | '''SSL-VPN''' || ohne NAT || class=" | | rowspan="3" | '''SSL-VPN''' || ohne NAT || class="good" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-|fw=bolder}} || class="good" | <div class="zb">VDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="good" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="good" | <div class="zb">UMTS</div> {{spc|check|o|-}} | ||
|- | |- | ||
| {{mobil|'''SSL-VPN''' }} NAT auf einer Seite || class=" | | {{mobil|'''SSL-VPN''' }} NAT auf einer Seite || class="good" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">VDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="good" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="good" | <div class="zb">UMTS</div> {{spc|check|o|-}} | ||
|- | |- | ||
| {{mobil|'''SSL-VPN''' }} NAT auf beiden Seiten || class=" | | {{mobil|'''SSL-VPN''' }} NAT auf beiden Seiten || class="good" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">VDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="good" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="good" | <div class="zb">UMTS</div> {{spc|check|o|-}} | ||
|- | |- | ||
| rowspan="3" | '''IPSec IKEv2''' || ohne NAT || class=" | | rowspan="3" | '''IPSec IKEv2''' || ohne NAT || class="good" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">VDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="possible" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="good" | <div class="zb">UMTS</div> {{spc|check|o|-}} | ||
|- | |- | ||
| {{mobil|'''IPSec IKEv2'''}} NAT auf einer Seite || class=" | | {{mobil|'''IPSec IKEv2'''}} NAT auf einer Seite || class="possible" | <div class="zb">ADSL/SDSL</div>{{spc|!!|o|-}} || class="good" | <div class="zb">VDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bad" | <div class="zb">LTE</div> {{spc|ban|o|-}} || class="possible" | <div class="zb">UMTS</div>{{spc|!!|o|-}} | ||
|- | |- | ||
| {{mobil|'''IPSec IKEv2'''}} NAT auf beiden Seiten || class=" | | {{mobil|'''IPSec IKEv2'''}} NAT auf beiden Seiten || class="good" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">VDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="good" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="good" | <div class="zb">UMTS</div> {{spc|check|o|-}} | ||
|- | |- | ||
| rowspan="3" | '''IPSec IKEv1''' || ohne NAT || class=" | | rowspan="3" | '''IPSec IKEv1''' || ohne NAT || class="good" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">VDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="possible" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="good" | <div class="zb">UMTS</div> {{spc|check|o|-}} | ||
|- | |- | ||
| {{mobil|'''IPSec IKEv1''' }} NAT auf einer Seite || class=" | | {{mobil|'''IPSec IKEv1''' }} NAT auf einer Seite || class="good" | <div class="zb" style="margin-right: 2em;>ADSL/SDSL</div> mit RSA-Schlüssel || class="good" | <div class="zb">VDSL</div> {{spc|check|o|-}} || class="good" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bad" | <div class="zb">LTE</div> {{spc|ban|o|-}} || class="possible" | <div class="zb" style="margin-right: 2em;">UMTS</div>mit RSA-Schlüssel | ||
|- | |- | ||
| {{mobil|'''IPSec IKEv1''' }} NAT auf beiden Seiten || class=" | | {{mobil|'''IPSec IKEv1''' }} NAT auf beiden Seiten || class="bad" | <div class="zb">ADSL/SDSL</div> {{spc|ban|o|-}} || class="bad" | <div class="zb">VDSL</div> {{spc|ban|o|-}} || class="bad" | <div class="zb">Kabelanschluss</div> {{spc|ban|o|-}} || class="bad" | <div class="zb">LTE</div> {{spc|ban|o|-}} || class="bad" | <div class="zb">UMTS</div> {{spc|ban|o|-}} | ||
|} | |} | ||
<div class="legende">'''Legende:'''</div> <div class=" | <div class="legende">'''Legende:'''</div> <div class="good check legende"> Empfohlen</div> <div class="possible blackalert legende"> möglich</div> <div class="bad ban legende"> nicht empfohlen</div> | ||
Zeile 137: | Zeile 137: | ||
! Betriebs­system !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec | ! Betriebs­system !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec | ||
|- | |- | ||
| Windows XP [[#XP | <sup>{{Hinweis|!}}</sup> ]]|| class=" | | Windows XP [[#XP | <sup>{{Hinweis|!}}</sup> ]]|| class="possible blackalert" | <br><small>nur Version 1.0.1</small>|| class="bad ban" | || class="bad ban" | || class="bad ban" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows Vista [[#XP | <sup>{{Hinweis|!}}</sup>]] || class=" | | Windows Vista [[#XP | <sup>{{Hinweis|!}}</sup>]] || class="good check" | || class="good check client" | || class="good check client" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows 7 [[#W7 | <sup>{{Hinweis|!}}</sup>]]|| class=" | | Windows 7 [[#W7 | <sup>{{Hinweis|!}}</sup>]]|| class="good check" | || class="good check client" | || class="good check" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows RT || class=" | | Windows RT || class="bad ban" | || class="bad ban" | || class="bad ban" | || class="bad ban" | || class="bad ban" | | ||
|- | |- | ||
| Windows 8 || class=" | | Windows 8 || class="good check" | || class="good check client" | || class="good check" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows 8.1 || class=" | | Windows 8.1 || class="good check" | || class="good check client" | || class="good check" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows 10 || class=" | | Windows 10 || class="good check" | <br><small>ab Ver.2</small> || class="good check client" | || class="good check" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows Server 2003R2 || class=" | | Windows Server 2003R2 || class="good check" | || class="good check client" | || class="bad ban" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows Server 2008 || class=" | | Windows Server 2008 || class="good check" | || class="good check client" | || class="good check client" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows Server 2008R2 || class=" | | Windows Server 2008R2 || class="good check" | || class="possible blackalert" | || class="good check" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows Server 2012 || class=" | | Windows Server 2012 || class="good check" | || class="possible blackalert" | || class="good check" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows Server 2012R2 || class=" | | Windows Server 2012R2 || class="good check" | || class="possible blackalert" | || class="good check" | || class="good check client" | || class="possible blackalert" | | ||
|- | |- | ||
| Windows Phone 7 || class=" | | Windows Phone 7 || class="bad ban" | || class="bad ban" | || class="bad ban" | || class="bad ban" | || class="bad ban" | | ||
|- | |- | ||
| Windows Phone 8 || class=" | | Windows Phone 8 || class="bad ban" | || class="bad ban" | || class="bad ban" | || class="bad ban" | || class="bad ban" | | ||
|- | |- | ||
| Windows Phone 8.1 || class=" | | Windows Phone 8.1 || class="bad ban" | || class="bad ban" | || class="possible blackalert" | || class="bad ban" | || class="possible blackalert" | | ||
|- | |- | ||
| Linux || class=" | | Linux || class="good check" | <br><small>OpenVPN</small> || class="good check" | || class="good check" | || class="good check" | || class="possible blackalert" | | ||
|- | |- | ||
| Apple OS X || class=" | | Apple OS X || class="good check" | <br><small>Tunnelblick</small> || class="good check client" | || class="bad ban" | || class="good check" | || class="possible blackalert" | | ||
|- | |- | ||
| Apple iOS || class=" | | Apple iOS || class="good check" | <br><small>OpenVPN</small> || class="possible blackalert" | || class="possible blackalert" | || class="good check" | || class="possible blackalert" | | ||
|- | |- | ||
| Android || class=" | | Android || class="good check" | <br><small>OpenVPN</small> || class="possible blackalert" | || class="possible blackalert" | || class="good check" | || class="possible blackalert" | | ||
|- | |- | ||
! Betriebs­system !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec | ! Betriebs­system !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec | ||
|} | |} | ||
<br> | <br> | ||
<div class="legende">'''Legende:'''</div> <div class=" | <div class="legende">'''Legende:'''</div> <div class="good check legende"> Empfohlen</div><div class="possible blackalert legende"> nicht empfohlen</div><div class="bad ban legende" style="border: 1px solid grey;"> nicht möglich</div> | ||
Version vom 8. Januar 2020, 10:02 Uhr
Übersicht über die verschiedenen VPN-Verbindungstechniken der Securepoint UTM
Letzte Anpassung zur Version: 11.8
- Änderungen:
- Artikelanpassung
- Korrektur: Kein RSA bei IKEv2 möglich
- Hinweise zum Supportende von Windows XP, Vista, 7
Vorherige Versionen: -
In diesem Artikel werden die verschiedenen Techniken zum Aufbau einer VPN-Verbindung (Virtual Private Network), die in der Securepoint UTM installiert sind, erläutert und es wird eine Übersicht gegeben, wann diese am besten eingesetzt werden sollten.
Techniken
IPSec VPN
Pbadokolle: | IKE, ESP, NAT-Traversal |
Ports: | 500/UDP (IKE), 4500/UDP (NAT-Traversal) |
IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen Pbadokollen, der sowohl für Site to Site als auch für End to Site, die von uns als Roadwarrior bezeichneten, Verbindungen eingesetzt werden kann.
IPSec bringt aber einige Merkmale mit, die sich teilweise negativ auf den Aufbau und die Stabilität einer VPN Verbindung auswirken können. Insbesondere bei Verbindungen die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz.
In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE Pbadokolls nicht geändert.
Um tbadzdem eine möglichst Stabile Verbindung zu erstellen, hat sich der Einsatz von RSA-Schlüsseln statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt.
SSL VPN
Pbadokolle: | SSL, TLS |
Ports: | Standard 1194/UDP; Kann aber fast jeden freien Port und auch das Pbadokoll TCP nutzen. |
Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an. OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus.
Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar
L2TP VPN
Pbadokolle: | L2TP |
Ports: | 1701/UDP |
Das L2TP (Layer 2 Tunneling Pbadokoll) ist eine Kombination aus den Pbadokollen PPTP (Point to Point Tunneling Pbadokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Pbadokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt.
PPTP VPN
Als nachgewiesenermaßen unsicheres Pbadokoll wird PPTP VPN von der UTM nicht mehr unterstützt.
Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Pbadokoll. Es wird dringend empfohlen dieses Pbadokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.
Pbadokolle: | PPTP, GRE |
Ports: | 1723/TCP |
Das Point-to-Point Tunneling Pbadocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.
Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation Pbadocol (GRE) gesteuert.
Site to Site VPN Verbindungen
In der folgenden Tabelle wird dargestellt, welche VPN-Technik im Zusammenspiel mit welcher Internetverbindung nach unserer Erfahrung am stabilsten läuft.
VPN-Art | NAT | ADSL/SDSL | VDSL | Kabelanschluss | LTE | UMTS |
---|---|---|---|---|---|---|
SSL-VPN | ohne NAT | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
NAT auf einer Seite | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
NAT auf beiden Seiten | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
IPSec IKEv2 | ohne NAT | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
NAT auf einer Seite | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
NAT auf beiden Seiten | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
IPSec IKEv1 | ohne NAT | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
NAT auf einer Seite | ADSL/SDSL mit RSA-Schlüssel |
VDSL |
Kabelanschluss |
LTE |
UMTS mit RSA-Schlüssel
| |
NAT auf beiden Seiten | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
Erklärung zur Tabelle
Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann.
RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden.
Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden.
Einrichtung der Site-to-Site Verbindungen
|
Roadwarrior oder End to Site VPN Verbindungen
Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden.
Die folgende Tabelle gibt eine Übersicht.
Erklärung zur Tabelle
OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher.
Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten. Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden.
Für die OpenVPN Clients oder den "Tunnelblick", wird die fertige Konfiguration mit den benötigten Zertifikaten heruntergeladen und in den Client Importiert. Auch dieses ist einfach umzusetzen. Lediglich beim Apple iOS müssen die Zertifikate mit in die Konfigurationdatei kopiert werden, so dass der OpenVPN Client auf nur eine einzige Datei zugreifen muss. Die passende Anleitung finden Sie im Wiki.
Bei einem Windows Phone 8 werden IPSec- und L2TP-VPN erst ab Version 8.1 unterstützt.
Bei Linux und Unix hängt es stark von der Distribution ab, welcher IPSec-VPN Client mitgeliefert wird.
Der Hinweis "mit Client" bezieht sich auf unsere Erfahrung mit dem TheGreenbow oder NCP Client. Ansonsten gehen wir, bis auf SSL-VPN, von den bordeigenen VPN-Clients aus, die die Betriebssysteme mitbringen.
Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität.
Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht empfohlen.
Windows XP und Windows Vista sind von Microsoft nicht mehr unterstütztes Betriebssysteme, welche in der Regel nicht mehr mit Sicherheitsupdates versorgt werden. Daher sehen wir auch eine Gefährdung für das Netzwerk mit welchem sich dieser Rechner per VPN verbinden soll.
Ebenfalls sollte Windows 7 nur noch verwendet werden, wenn die erweiterten Sicherheits-Updates (Extended Security Updates, ESU) bezogen werden.
Ist dies nicht der Fall ist auch Windows 7 als unsicher einzustufen und stellt eine Gefährdung für Netzwerke dar.
Einrichtung der Roadwarrior-Verbindungen
|