Wechseln zu:Navigation, Suche
Wiki

VPN-Übersicht

Aus Securepoint Wiki




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden
















































Übersicht über die verschiedenen VPN-Verbindungstechniken der Securepoint UTM

Letzte Anpassung: 12.2023

Neu:
  • WireGuard als VPN-Art ergänzt
notempty
Dieser Artikel bezieht sich auf eine Beta-Version

In diesem Artikel werden die verschiedenen Techniken zum Aufbau einer VPN-Verbindung (Virtual Private Network), die mit einer Securepoint UTM möglich sind sind, erläutert und es wird eine Übersicht gegeben, wann diese am besten eingesetzt werden sollten.


Techniken

IPSec VPN

Protokolle: IKE, ESP, NAT-Traversal
Ports: 500/UDP (IKE), 4500/UDP (NAT-Traversal)
  • IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen Protokollen, der sowohl für Site to Site (S2S) als auch für End to Site (E2S, Roadwarrior) Verbindungen eingesetzt werden kann.
  • Vorteil ist, daß IPSec von vielen Betriebssystemen nativ unterstützt wird - dabei jedoch nicht immer einfach zu konfigurieren ist
  • Probleme bereiten oft Verbindungen, die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz.
  • Um eine möglichst stabile Verbindung herzustellen, hat sich der Einsatz von RSA-Schlüsseln statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt.
    Dies trifft insbesondere bei Verbindungen zu, bei denen die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind.


SSL VPN

Protokolle: SSL, TLS
Ports: Standard 1194/UDP; Kann aber fast jeden freien Port und auch das Protokoll TCP nutzen.
  • Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an.
  • OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus.
  • Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar.


L2TP VPN

Protokolle: L2TP
Ports: 1701/UDP

Das L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination aus den Protokollen PPTP (Point to Point Tunneling Protokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Protokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt.


PPTP VPN

notempty
Als nachgewiesenermaßen unsicheres Protokoll wird PPTP VPN von der UTM nicht mehr unterstützt.

Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.

Protokolle: PPTP, GRE
Ports: 1723/TCP

Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.
Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation Protocol (GRE) gesteuert.



Site to Site VPN Verbindungen

In der folgenden Tabelle wird dargestellt, welche VPN-Technik im Zusammenspiel mit welcher Internetverbindung nach unserer Erfahrung am stabilsten läuft.

VPN-Art NAT ADSL/SDSL VDSL Kabelanschluss LTE UMTS
WireGuard ohne NAT
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
WireGuard NAT auf einer Seite
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
WireGuard NAT auf beiden Seiten
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
SSL-VPN ohne NAT
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
SSL-VPN NAT auf einer Seite
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
SSL-VPN NAT auf beiden Seiten
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv2 ohne NAT
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv2 NAT auf einer Seite
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv2 NAT auf beiden Seiten
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv1 ohne NAT
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv1 NAT auf einer Seite
ADSL/SDSL
mit RSA-Schlüssel
VDSL
Kabelanschluss
LTE
UMTS
mit RSA-Schlüssel
IPSec IKEv1 NAT auf beiden Seiten
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
Legende:
Empfohlen
möglich
nicht empfohlen

Erklärung zur Tabelle
Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann.
RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden.
Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden.


Einrichtung der Site-to-Site Verbindungen



Roadwarrior oder End to Site VPN Verbindungen

Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden.

Die folgende Tabelle gibt eine Übersicht.

Betriebssystem WireGuard SSL-VPN IPSec IKEv1 IPSec IKEv2 IPSec XAuth L2TP / IPSec
Windows 10
ab Ver.2
Linux
OpenVPN
Apple OS X
Tunnelblick
Apple iOS
OpenVPN
Android
OpenVPN
Betriebssystem WireGuard SSL-VPN IPSec IKEv1 IPSec IKEv2 IPSec XAuth L2TP / IPSec
notempty
Von der Nutzung folgender Betriebssystem Versionen wird abgeraten. Eine Funktion mit aktuellen UTM-Versionen kann nicht gewährleistet werden.
Betriebssystem WireGuard SSL-VPN IPSec IKEv1 IPSec IKEv2 IPSec XAuth L2TP / IPSec
Windows XP
nur Version 1.0.1
Windows Vista
Windows 7
Windows RT
Windows 8
Windows 8.1
Windows Server 2003R2
Windows Server 2008
Windows Server 2008R2
Windows Server 2012
Windows Server 2012R2
Windows Phone 7
Windows Phone 8
Windows Phone 8.1
Betriebssystem WireGuard SSL-VPN IPSec IKEv1 IPSec IKEv2 IPSec XAuth L2TP / IPSec


Legende:
Empfohlen
nicht empfohlen
nicht möglich

Erklärung zur Tabelle

  • OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher.
  • Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten.
    Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden.
  • Für die OpenVPN Clients oder den "Tunnelblick", wird die fertige Konfiguration mit den benötigten Zertifikaten im Userinterface heruntergeladen und in den Client importiert. Auch dieses ist einfach umzusetzen.
  • Bei Linux und Unix hängt es stark von der Distribution ab, welcher IPSec-VPN Client mitgeliefert wird.
  • Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.
  • Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht empfohlen.


Windows XP und Windows Vista sind von Microsoft nicht mehr unterstützte Betriebssysteme, welche in der Regel nicht mehr mit Sicherheitsupdates versorgt werden. Daher sehen wir auch eine Gefährdung für das Netzwerk mit welchem sich dieser Rechner per VPN verbinden soll.
Ebenfalls sollte Windows 7 nur noch verwendet werden, wenn die erweiterten Sicherheits-Updates (Extended Security Updates, ESU) bezogen werden.
Ist dies nicht der Fall ist auch Windows 7 als unsicher einzustufen und stellt eine Gefährdung für Netzwerke dar.


Einrichtung der Roadwarrior-Verbindungen

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/Übersicht&oldid=94904