KKeine Bearbeitungszusammenfassung |
Maltea (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 22: | Zeile 22: | ||
| Protocols }} | | Protocols }} | ||
{{var | IPSec VPN--desc | {{var | IPSec VPN--desc | ||
| IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen Protokollen, der sowohl für Site to Site als auch für End to Site, die von uns als Roadwarrior bezeichneten, Verbindungen eingesetzt werden kann. | | IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen Protokollen, der sowohl für Site to Site als auch für End to Site, die von uns als Roadwarrior bezeichneten, Verbindungen eingesetzt werden kann.<br> | ||
IPSec bringt aber einige Merkmale mit, die sich teilweise negativ auf den Aufbau und die Stabilität einer VPN Verbindung auswirken können. Insbesondere bei Verbindungen die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz.<br> | |||
IPSec bringt aber einige Merkmale mit, die sich teilweise negativ auf den Aufbau und die Stabilität einer VPN Verbindung auswirken können. Insbesondere bei Verbindungen die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz. | In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE Protokolls nicht geändert.<br> | ||
In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE Protokolls nicht geändert. | |||
Um trotzdem eine möglichst stabile Verbindung herzustellen, hat sich der Einsatz von [[UTM/AUTH/Schluessel | RSA-Schlüsseln]] statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt. | Um trotzdem eine möglichst stabile Verbindung herzustellen, hat sich der Einsatz von [[UTM/AUTH/Schluessel | RSA-Schlüsseln]] statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt. | ||
| IPSec is a very secure VPN standard consisting of different protocols that can be used for both site to site and end to site, what we call Roadwarrior, connections. | | IPSec is a very secure VPN standard consisting of different protocols that can be used for both site to site and end to site, what we call Roadwarrior, connections.<br> | ||
However, IPSec has some features that can have a negative effect on the establishment and stability of a VPN connection. This is especially true for connections that are routed to other IP address ranges, since the IPSec packets receive a new IP address and a new source port through NAT. This is where IPSec NAT traversal comes into play.<br> | |||
However, IPSec has some features that can have a negative effect on the establishment and stability of a VPN connection. This is especially true for connections that are routed to other IP address ranges, since the IPSec packets receive a new IP address and a new source port through NAT. This is where IPSec NAT traversal comes into play. | In practical use, however, there are still stability problems with connections where the routers that are to establish the VPN connection are positioned behind a NAT router and thus do not have direct access to the Internet line. Unfortunately, version 2 of the IKE protocol has not changed this.<br> | ||
In practical use, however, there are still stability problems with connections where the routers that are to establish the VPN connection are positioned behind a NAT router and thus do not have direct access to the Internet line. Unfortunately, version 2 of the IKE protocol has not changed this. | |||
Despite this, in order to establish the most stable connection possible, the use of [{{#var:host}}UTM/AUTH/Schluessel RSA keys] instead of a pre-shared key (PSK) for authentication has proven successful. }} | Despite this, in order to establish the most stable connection possible, the use of [{{#var:host}}UTM/AUTH/Schluessel RSA keys] instead of a pre-shared key (PSK) for authentication has proven successful. }} | ||
{{var | SSL VPN-Ports | {{var | SSL VPN-Ports | ||
| Zeile 40: | Zeile 34: | ||
| Standard 1194/UDP; but can use almost any free port and also TCP protocol. }} | | Standard 1194/UDP; but can use almost any free port and also TCP protocol. }} | ||
{{var | SSL VPN--desc | {{var | SSL VPN--desc | ||
| Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an. OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus.<br> | | Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an. OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus.<br> Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar. | ||
Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar. | | The Securepoint firewall appliances offer an SSL (Secure Socket Layer) encrypted VPN connection based on the open source project OpenVPN. OpenVPN is characterized by high flexibility, a relatively simple configuration and good encryption of the data and thus a very high security.<br> Furthermore, OpenVPN usually has no problems with nated connections and can therefore also be used as a very stable alternative to IPSec VPN site-to-site connections. }} | ||
| The Securepoint firewall appliances offer an SSL (Secure Socket Layer) encrypted VPN connection based on the open source project OpenVPN. OpenVPN is characterized by high flexibility, a relatively simple configuration and good encryption of the data and thus a very high security.<br> | |||
Furthermore, OpenVPN usually has no problems with nated connections and can therefore also be used as a very stable alternative to IPSec VPN site-to-site connections. }} | |||
{{var | L2TP VPN--desc | {{var | L2TP VPN--desc | ||
| Das L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination aus den Protokollen PPTP (Point to Point Tunneling Protokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Protokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt. | | Das L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination aus den Protokollen PPTP (Point to Point Tunneling Protokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Protokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt. | ||
| Zeile 58: | Zeile 50: | ||
{{var | Veraltete Versionen | {{var | Veraltete Versionen | ||
| Veraltete Versionen | | Veraltete Versionen | ||
| | | Out-of-date versions }} | ||
{{var | Hinweis--Veraltete Versionen | {{var | Hinweis--Veraltete Versionen | ||
| Von der Nutzung dieser Betriebssystem Versionen wird abgeraten. Eine Funktion mit aktuellen UTM-Versionen kann nicht gewährleistet werden. | | Von der Nutzung dieser Betriebssystem Versionen wird abgeraten. Eine Funktion mit aktuellen UTM-Versionen kann nicht gewährleistet werden. | ||
| | | The use of these operating system versions is not recommended. Functionality with current UTM versions cannot be guaranteed. }} | ||
{{var | Das Point-to-Point Tunneling Protocol | {{var | Das Point-to-Point Tunneling Protocol | ||
| Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.<br> | | Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.<br> | ||
| Zeile 104: | Zeile 96: | ||
| Table explanation }} | | Table explanation }} | ||
{{var | Erklärung zur Tabelle--desc | {{var | Erklärung zur Tabelle--desc | ||
| Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann. | | Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann.<br> | ||
RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden.<br> | |||
RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden. | |||
Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden. | Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden. | ||
| Due to the properties of SSL VPN or OpenVPN, we have found that a stable VPN connection can almost always be set up with this technology. | | Due to the properties of SSL VPN or OpenVPN, we have found that a stable VPN connection can almost always be set up with this technology.<br> | ||
RSA keys consist of a private and a public key and provide secure authentication. These key pairs can be generated on any Securepoint appliance and the public keys can be exchanged.<br> | |||
RSA keys consist of a private and a public key and provide secure authentication. These key pairs can be generated on any Securepoint appliance and the public keys can be exchanged. | |||
Unfortunately, we repeatedly have to make the experience that connections via LTE (Long Term Evolution) are nated by the Internet provider. The connection runs best with a public IP from the provider. Otherwise, VPN connections via IPSec are usually not stable, if they are established at all. }} | Unfortunately, we repeatedly have to make the experience that connections via LTE (Long Term Evolution) are nated by the Internet provider. The connection runs best with a public IP from the provider. Otherwise, VPN connections via IPSec are usually not stable, if they are established at all. }} | ||
{{var | Einrichtung der Site-to-Site Verbindungen | {{var | Einrichtung der Site-to-Site Verbindungen | ||
| Zeile 145: | Zeile 133: | ||
| Roadwarrior or end-to-site VPN connections }} | | Roadwarrior or end-to-site VPN connections }} | ||
{{var | Roadwarrior oder End to Site VPN Verbindungen--desc | {{var | Roadwarrior oder End to Site VPN Verbindungen--desc | ||
| Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden. | | Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden.<br><br> Die folgende Tabelle gibt eine Übersicht. | ||
| Not all operating systems offer the possibility to use all VPN techniques.<br><br> The following table provides an overview. }} | |||
Die folgende Tabelle gibt eine Übersicht. | |||
| Not all operating systems offer the possibility to use all VPN techniques. | |||
The following table provides an overview. }} | |||
{{var | nur Version | {{var | nur Version | ||
| nur Version | | nur Version | ||
| Zeile 167: | Zeile 151: | ||
| not possible }} | | not possible }} | ||
{{var | Tabelle Roadwarrior--desc | {{var | Tabelle Roadwarrior--desc | ||
| OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher.<br> | | OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher.<br> Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten. Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden.<br> | ||
Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten. Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden.<br> | Für die OpenVPN Clients oder den "Tunnelblick", wird die fertige Konfiguration mit den benötigten Zertifikaten heruntergeladen und in den Client importiert. Auch dieses ist einfach umzusetzen. Lediglich beim Apple iOS müssen die Zertifikate mit in die Konfigurationdatei kopiert werden, so dass der OpenVPN Client auf nur eine einzige Datei zugreifen muss. Die passende Anleitung finden Sie im [[UTM/VPN/SSL_VPN-Roadwarrior-iOS | Wiki]].<br> | ||
Bei einem Windows Phone 8 werden IPSec- und L2TP-VPN erst ab Version 8.1 unterstützt.<br> | |||
Für die OpenVPN Clients oder den "Tunnelblick", wird die fertige Konfiguration mit den benötigten Zertifikaten heruntergeladen und in den Client importiert. Auch dieses ist einfach umzusetzen. Lediglich beim Apple iOS müssen die Zertifikate mit in die Konfigurationdatei kopiert werden, so dass der OpenVPN Client auf nur eine einzige Datei zugreifen muss. Die passende Anleitung finden Sie im [[UTM/VPN/SSL_VPN-Roadwarrior-iOS | Wiki]]. | Bei Linux und Unix hängt es stark von der Distribution ab, welcher IPSec-VPN Client mitgeliefert wird.<br> | ||
Der Hinweis "mit Client" bezieht sich auf unsere Erfahrung mit dem TheGreenbow oder NCP Client. Ansonsten gehen wir, bis auf SSL-VPN, von den bordeigenen VPN-Clients aus, die die Betriebssysteme mitbringen.<br> | |||
Bei einem Windows Phone 8 werden IPSec- und L2TP-VPN erst ab Version 8.1 unterstützt. | Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität.<br> | ||
Bei Linux und Unix hängt es stark von der Distribution ab, welcher IPSec-VPN Client mitgeliefert wird. | |||
Der Hinweis "mit Client" bezieht sich auf unsere Erfahrung mit dem TheGreenbow oder NCP Client. Ansonsten gehen wir, bis auf SSL-VPN, von den bordeigenen VPN-Clients aus, die die Betriebssysteme mitbringen. | |||
Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität. | |||
Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht empfohlen. | Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht empfohlen. | ||
| OpenVPN clients are currently available for almost all systems, is easy to set up, stable and secure.<br> | | OpenVPN clients are currently available for almost all systems, is easy to set up, stable and secure.<br> | ||
With the Securepoint client, the configuration is already included via the user setup. This must therefore only be installed (Installer) or started (Portable).<br> | With the Securepoint client, the configuration is already included via the user setup. This must therefore only be installed (Installer) or started (Portable).<br><br> | ||
For the OpenVPN clients or the "tunnel view", the finished configuration with the required certificates is downloaded and imported into the client. This is also easy to implement. Only for Apple iOS, the certificates have to be copied into the configuration file, so that the OpenVPN client only has to access a single file. You can find the corresponding instructions in the [{{#var:host}}UTM/VPN/SSL_VPN-Roadwarrior-iOS Wiki].<br> | |||
For the OpenVPN clients or the "tunnel view", the finished configuration with the required certificates is downloaded and imported into the client. This is also easy to implement. Only for Apple iOS, the certificates have to be copied into the configuration file, so that the OpenVPN client only has to access a single file. You can find the corresponding instructions in the [{{#var:host}}UTM/VPN/SSL_VPN-Roadwarrior-iOS Wiki]. | On a Windows Phone 8, IPSec and L2TP VPN are only supported beginning with version 8.1.<br> | ||
For Linux and Unix, it depends heavily on the distribution which IPSec VPN client is included.<br> | |||
On a Windows Phone 8, IPSec and L2TP VPN are only supported beginning with version 8.1. | Der Hinweis "mit Client" bezieht sich auf unsere Erfahrung mit dem TheGreenbow oder NCP Client. Ansonsten gehen wir, bis auf SSL-VPN, von den bordeigenen VPN-Clients aus, die die Betriebssysteme mitbringen.<br> | ||
There are recurring problems with the stability of a VPN connection if a router/modem in front of the appliance also has an active firewall. Please disable any firewall functionality on these devices.<br> | |||
For Linux and Unix, it depends heavily on the distribution which IPSec VPN client is included. | |||
Der Hinweis "mit Client" bezieht sich auf unsere Erfahrung mit dem TheGreenbow oder NCP Client. Ansonsten gehen wir, bis auf SSL-VPN, von den bordeigenen VPN-Clients aus, die die Betriebssysteme mitbringen. | |||
There are recurring problems with the stability of a VPN connection if a router/modem in front of the appliance also has an active firewall. Please disable any firewall functionality on these devices. | |||
Since PPTP VPN is too insecure and L2TP/IPSec under Windows terminates after 1 hour each, we do not recommend these two methods. }} | Since PPTP VPN is too insecure and L2TP/IPSec under Windows terminates after 1 hour each, we do not recommend these two methods. }} | ||
{{var | Tabelle Roadwarrior-Hinweis | {{var | Tabelle Roadwarrior-Hinweis | ||
| Zeile 199: | Zeile 170: | ||
| Windows XP and Windows Vista are no longer supported operating systems by Microsoft, which are usually no longer provided with security updates. Therefore, we also see a risk for the network to which this computer should connect via VPN. }} | | Windows XP and Windows Vista are no longer supported operating systems by Microsoft, which are usually no longer provided with security updates. Therefore, we also see a risk for the network to which this computer should connect via VPN. }} | ||
{{var | Hinweis zu Windows 7 | {{var | Hinweis zu Windows 7 | ||
| Ebenfalls sollte Windows 7 nur noch verwendet werden, wenn die erweiterten Sicherheits-Updates (Extended Security Updates, ESU) bezogen werden.<br> | | Ebenfalls sollte Windows 7 nur noch verwendet werden, wenn die erweiterten Sicherheits-Updates (Extended Security Updates, ESU) bezogen werden.<br> Ist dies nicht der Fall ist auch Windows 7 als unsicher einzustufen und stellt eine Gefährdung für Netzwerke dar. | ||
Ist dies nicht der Fall ist auch Windows 7 als unsicher einzustufen und stellt eine Gefährdung für Netzwerke dar. | | Likewise, Windows 7 should only be used if the extended security updates (ESU) are obtained.<br> If this is not the case, Windows 7 is also to be classified as insecure and poses a threat to networks. }} | ||
| Likewise, Windows 7 should only be used if the extended security updates (ESU) are obtained.<br> | |||
If this is not the case, Windows 7 is also to be classified as insecure and poses a threat to networks. }} | |||
{{var | Einrichtung der Roadwarrior-Verbindungen | {{var | Einrichtung der Roadwarrior-Verbindungen | ||
| Einrichtung der Roadwarrior-Verbindungen | | Einrichtung der Roadwarrior-Verbindungen | ||
| Zeile 227: | Zeile 196: | ||
| Konfiguration einer PPTP-VPN Verbindung | | Konfiguration einer PPTP-VPN Verbindung | ||
| Configuration of a PPTP VPN connection }} | | Configuration of a PPTP VPN connection }} | ||
{{var | | |||
| | |||
| }} | |||
---- | ---- | ||
| Zeile 232: | Zeile 204: | ||
| | | | ||
| }} | | }} | ||
</div> | </div> | ||
UTM/VPN/Übersicht.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki