Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „{{v11}} ==Übersicht über die verschiedenen VPN-Verbindungstechniken der Securepoint UTM== In diesem Artikel möchten wir die verschiedenen Techniken zum Auf…“)
 
KKeine Bearbeitungszusammenfassung
(20 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{v11}}
{{Set_lang}}
<templatestyles src="Vorlage:AV-Portal-Benutzer.css" />
{{#vardefine:headerIcon|spicon-utm}}


==Übersicht über die verschiedenen VPN-Verbindungstechniken der Securepoint UTM==
In diesem Artikel möchten wir die verschiedenen Techniken zum Aufbau einer VPN (Virtual Private Network) Verbindung, die in der Securepoint UTM installiert sind, einmal beleuchten und eine Übersicht geben, wann diese am besten eingesetzt werden sollten.


===Techniken===
</div>{{DISPLAYTITLE: VPN-Übersicht}}{{TOC2}}
====IPSec VPN====
<p>'''Übersicht über die verschiedenen VPN-Verbindungstechniken der Securepoint UTM'''</p>
{|
<br>
<p>Letzte Anpassung zur Version: '''11.8''' </p>
<br>
<p>{{cl| Änderungen: |
* Artikelanpassung
* Korrektur: Kein RSA bei IKEv2 möglich
* Hinweise zum Supportende von Windows XP, Vista, 7
|w=100px}}
</p><br>
<p>Vorherige Versionen: -</p>
<br>
 
<p>In diesem Artikel werden die verschiedenen Techniken zum Aufbau einer VPN-Verbindung (Virtual Private Network), die in der Securepoint UTM installiert sind, erläutert und es wird eine Übersicht gegeben, wann diese am besten eingesetzt werden sollten.</p>
----
=== Techniken ===
==== IPSec VPN ====
{| class="noborder"
|Protokolle:|| IKE, ESP, NAT-Traversal
|Protokolle:|| IKE, ESP, NAT-Traversal
|-
|-
Zeile 18: Zeile 34:
In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE Protokolls nicht geändert.
In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE Protokolls nicht geändert.


Um trotzdem eine möglichst Stabile Verbindung zu erstellen, hat sich der Einsatz von [[RSA-Keys_erstellen_und_verteilen | RSA-Schlüsseln]] statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt.
Um trotzdem eine möglichst Stabile Verbindung zu erstellen, hat sich der Einsatz von [[UTM/AUTH/RSA-Keys | RSA-Schlüsseln]] statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt.
   
   
====SSL VPN====
==== SSL VPN ====
{|
{| class="noborder"
|Protokolle:|| SSL, TLS
|Protokolle: || SSL, TLS
|-
|-
|Ports:|| Standard 1194/UDP; Kann aber fast jeden freien Port und auch das Protokoll TCP nutzen.
|Ports: || Standard 1194/UDP; Kann aber fast jeden freien Port und auch das Protokoll TCP nutzen.
|}
|}
<br>
<br>
Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an. OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus.<br>
Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an. OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus.<br>
Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar
Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar.
{{Hinweis|!|g}} ARM-Prozessoren werden derzeit von OpenVPn nicht unterstützt.


====L2TP VPN====
==== L2TP VPN ====
{|
{| class="noborder"
|Protokolle:|| L2TP
|Protokolle: || L2TP
|-
|-
|Ports:|| 1701/UDP
|Ports: || 1701/UDP
|}
|}
<br>
<br>
Das L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination aus den Protokollen PPTP (Point to Point Tunneling Protokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Protokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt.
Das L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination aus den Protokollen PPTP (Point to Point Tunneling Protokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Protokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt.


====PPTP VPN====
==== PPTP VPN ====
{|
 
|-
{{Hinweis|! Als nachgewiesenermaßen unsicheres Protokoll wird PPTP VPN von der UTM nicht mehr unterstützt.}}
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
{{Einblenden3 | Angaben zu PPTP VPN anzeigen | ausblenden | true | dezent }}
|<span style="color:red;">'''Bei PPTP VPN handelt es nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.'''</span>
Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.'''
|}
<br>
<br>
{|
{| class="noborder"
|Protokolle:|| PPTP, GRE
|Protokolle:|| PPTP, GRE
|-
|-
Zeile 54: Zeile 70:
Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.<br>
Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.<br>
Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation Protocol (GRE) gesteuert.
Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation Protocol (GRE) gesteuert.
</div>
----
=== Site to Site VPN Verbindungen ===
In der folgenden Tabelle wird dargestellt, welche VPN-Technik im Zusammenspiel mit welcher Internetverbindung nach unserer Erfahrung am stabilsten läuft.
{| class="sptable verfügbar pd5"
|-
! VPN-Art !! NAT !! style="text-align: center;" | ADSL/SDSL !!style="min-width: 80px; text-align: center;" | VDSL !! style="text-align: center;" | Kabelanschluss !! style="min-width: 80px; text-align: center;" | LTE !! style="text-align: center;" | UMTS
|-
| rowspan="3" | '''SSL-VPN''' || ohne NAT || class="bc__ja" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-|fw=bolder}} || class="bc__ja" |  <div class="zb">VDSL</div> {{spc|check|o|-}} || class="bc__ja" |  <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">UMTS</div> {{spc|check|o|-}}
|-
| {{mobil|'''SSL-VPN''' }} NAT auf einer Seite || class="bc__ja" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="bc__ja" |  <div class="zb">VDSL</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">UMTS</div> {{spc|check|o|-}}
|-
| {{mobil|'''SSL-VPN''' }} NAT auf beiden Seiten || class="bc__ja" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="bc__ja" |  <div class="zb">VDSL</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">UMTS</div> {{spc|check|o|-}}
|-
| rowspan="3" | '''IPSec IKEv2''' || ohne NAT || class="bc__ja" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="bc__ja" |  <div class="zb">VDSL</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bc__teilweise" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">UMTS</div> {{spc|check|o|-}}
|-
| {{mobil|'''IPSec IKEv2'''}} NAT auf einer Seite || class="bc__teilweise" | <div class="zb">ADSL/SDSL</div>{{spc|!!|o|-}} || class="bc__ja" |  <div class="zb">VDSL</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bc__nein" | <div class="zb">LTE</div> {{spc|ban|o|-}} || class="bc__teilweise" | <div class="zb">UMTS</div>{{spc|!!|o|-}}
|-
| {{mobil|'''IPSec IKEv2'''}} NAT auf beiden Seiten || class="bc__ja" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="bc__ja" |  <div class="zb">VDSL</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">UMTS</div> {{spc|check|o|-}}
|-
| rowspan="3" | '''IPSec IKEv1''' || ohne NAT || class="bc__ja" | <div class="zb">ADSL/SDSL</div> {{spc|check|o|-}} || class="bc__ja" |  <div class="zb">VDSL</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bc__teilweise" | <div class="zb">LTE</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">UMTS</div> {{spc|check|o|-}}
|-
| {{mobil|'''IPSec IKEv1''' }} NAT auf einer Seite || class="bc__ja" | <div class="zb" style="margin-right: 2em;>ADSL/SDSL</div> mit RSA-Schlüssel || class="bc__ja" |  <div class="zb">VDSL</div> {{spc|check|o|-}} || class="bc__ja" | <div class="zb">Kabelanschluss</div> {{spc|check|o|-}} || class="bc__nein" | <div class="zb">LTE</div> {{spc|ban|o|-}} || class="bc__teilweise" | <div class="zb" style="margin-right: 2em;">UMTS</div>mit RSA-Schlüssel
|-
| {{mobil|'''IPSec IKEv1''' }} NAT auf beiden Seiten || class="bc__nein" | <div class="zb">ADSL/SDSL</div> {{spc|ban|o|-}} || class="bc__nein" |  <div class="zb">VDSL</div> {{spc|ban|o|-}} || class="bc__nein" | <div class="zb">Kabelanschluss</div> {{spc|ban|o|-}} || class="bc__nein" | <div class="zb">LTE</div> {{spc|ban|o|-}} || class="bc__nein" | <div class="zb">UMTS</div> {{spc|ban|o|-}}
|}
<div class="legende">'''Legende:'''</div> <div class="bc__ja check legende"> Empfohlen</div> <div class="bc__teilweise blackalert legende"> möglich</div> <div class="bc__nein ban legende"> nicht empfohlen</div>


===Site to Site VPN Verbindungen===
Im Folgenden wollen wir in einer einfachen Grafik darstellen, welche VPN-Technik im Zusammenspiel mit welcher Internet Verbindung nach unserer Erfahrung am stabilsten läuft.


<table width="800" align="center">
    <tr >
      <td>&nbsp;</td>
      <td align=center><b>&nbsp;ADSL/SDSL&nbsp;</b></td>
      <td align=center><b>&nbsp;VDSL&nbsp;</b></td>
      <td align=center><b>&nbsp;Kabelanschluss&nbsp;</b></td>
      <td align=center><b>&nbsp;&nbsp;&nbsp;LTE&nbsp;&nbsp;&nbsp;</b></td>
      <td align=center><b>&nbsp;&nbsp;UMTS&nbsp;&nbsp;</b></td>
    </tr>
    <tr>
      <th colspan=6 align=left><b>OpenVPN</b></th>
    </tr>
    <tr >
      <td align=right>Ohne NAT&nbsp;</td>
      <td colspan=5 bgcolor=#CCFFCC style="border-bottom: 1px dotted gray">&nbsp;</td>
    </tr>
    <tr>
      <td align=right>NAT auf einer Seite&nbsp;</td>
      <th colspan=5 bgcolor=#CCFFCC style="border-bottom: 1px dotted gray">&nbsp;</th>
    </tr>
    <tr>
      <td align=right>NAT auf beiden Seiten&nbsp;</td>
      <th colspan=5 bgcolor=#CCFFCC>&nbsp;</th>
    </tr>
    <tr>
      <th colspan=6 align=left><b>IPSec IKEv2</b></th>
    </tr>
    <tr>
      <td align=right>Ohne NAT&nbsp;</td>
      <th colspan=3 bgcolor=#CCFFCC align=center style="border-bottom: 1px dotted gray">&nbsp;</th>
      <td bgcolor=#FFFF99 style="border-bottom: 1px dotted gray">&nbsp;</td>
      <td bgcolor=#CCFFCC style="border-bottom: 1px dotted gray">&nbsp;</td>
    </tr>
    <tr>
      <td align=right>NAT auf einer Seite&nbsp;</td>
      <th colspan=3 bgcolor=#CCFFCC align=center style="border-bottom: 1px dotted gray">mit  RSA - Schlüssel</th>
      <td bgcolor=#FF5555 style="border-bottom: 1px dotted gray">&nbsp;</td>
      <td bgcolor=#FFFF99 style="border-bottom: 1px dotted gray"><b>&nbsp;mit RSA-Schlüssel&nbsp;</b></td>
    </tr>
    <tr>
      <td align=right>NAT auf beiden Seiten&nbsp;</td>
      <th colspan=5 bgcolor=#FF5555>&nbsp;</th>
    </tr>
    <tr>
      <th colspan=6 align=left><b>IPSec IKEv1</b></th>
    </tr>
    <tr>
      <td align=right>Ohne NAT&nbsp;</td>
      <th colspan=3 bgcolor=#CCFFCC align=center style="border-bottom: 1px dotted gray">&nbsp;</th>
      <td bgcolor=#FFFF99 style="border-bottom: 1px dotted gray">&nbsp;</td>
      <td bgcolor=#CCFFCC style="border-bottom: 1px dotted gray">&nbsp;</td>
    </tr>
    <tr>
      <td align=right>NAT auf einer Seite&nbsp;</td>
      <th colspan=3 bgcolor=#CCFFCC align=center style="border-bottom: 1px dotted gray">mit  RSA - Schlüssel</th>
      <td bgcolor=#FF5555 style="border-bottom: 1px dotted gray">&nbsp;</td>
      <td bgcolor=#FFFF99 style="border-bottom: 1px dotted gray"><b>&nbsp;mit RSA-Schlüssel&nbsp;</b></td>
    </tr>
    <tr>
      <td align=right>NAT auf beiden Seiten&nbsp;</td>
      <th colspan=5 bgcolor=#FF5555>&nbsp;</th>
    </tr>
    <tr>
      <th colspan=6>&nbsp;</th>
    </tr>
    <tr>
      <td>&nbsp;</td>
      <td bgcolor=#CCFFCC align=center style="border: 1px solid white; border-radius: 6px"><b>Empfohlen</b></td>
      <td>&nbsp;</td>
      <td bgcolor=#FFFF99 align=center style="border: 1px solid white; border-radius: 6px"><b>Möglich</b></td>
      <td>&nbsp;</td>
      <td bgcolor=#FF5555 align=center style="border: 1px solid white; border-radius: 6px"><b>Nicht Empfohlen</b></td>
</table>


====Erklärung zur Tabelle====
'''Erklärung zur Tabelle'''<br>
Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann.
Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann.


RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden.  
RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden.  


Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer Öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden.
Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden.
 
==== Einrichtung der Site-to-Site Verbindungen ====


====Einrichtung der Site-to-Site Verbindungen====
* IPSec
{|
** [[IPSec_Arten | Konfigurationsmöglichkeiten einer IPSec-Verbindung ]]  
|
** [[IPSec_Site_to_Site_v11| Konfiguration einer S2S Verbindung mit IPSec ]]
*IPSec
**[[IPSec_Arten | Konfigurationsmöglichkeiten einer IPSec-Verbindung ]]  
**[[IPSec_Site_to_Site_v11| Konfiguration einer S2S Verbindung mit IPSec ]]


*Openvpn
* SSL-VPN
**[[OpenVPN_Site_to_Site_V11 | Konfiguration einer Openvpn S2S Verbindung ]]
** [[UTM/VPN/SSL_VPN-S2S | Konfiguration einer SSL-VPN S2S Verbindung ]]
**[[OpenVPN_Site_to_Site_Fallback_V11 | Konfiguration einer Openvpn S2S Verbindung mit Fallback]]
** [[UTM/VPN/SSL_VPN-S2S-Fallback | Konfiguration einer SSL-VPN S2S Verbindung mit Fallback]]


<br>
<br>


*[[DNS_Relay_ueber_Site_to_Site_VPN | Konfiguration eines DNS-Relay über eine IPSec oder OpenVPN Site to Site VPN-Verbindung]]
* [[UTM/VPN/DNS_Relay | Konfiguration eines DNS-Relay über eine IPSec oder SSL-VPN Site to Site VPN-Verbindung]]
*[[HTTP_ueber_IPSec | Hinweise zu HTTP-Verbindungen über VPN-Verbindungen ]]
* [[UTM/VPN/IPSec-HTTP | Hinweise zu HTTP-Verbindungen über VPN-Verbindungen ]]
<br>
<br>
*[[Netmap_11.5 | Konfiguration von VPN Verbindungen mit identischen Netzwerken (ab 11.5)]]
* [[Netmap_11.5 | Konfiguration von VPN Verbindungen mit identischen Netzwerken (ab 11.5)]]
|}


----


===Roadwarrior oder End to Site VPN Verbindungen===
=== Roadwarrior oder End to Site VPN Verbindungen ===
Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden.
Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden.


Die folgende Tabelle gibt eine Übersicht.
Die folgende Tabelle gibt eine Übersicht.


<table width="800" align=center >
{| class="sptable0 verfügbar pd5"
  <tr>
|-
    <td width="100">&nbsp;</td>
! Betriebs&shy;system !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec
    <td width="50" style="border-right: 1px dotted gray"><b>SSL-VPN</b></td>
|-
    <td width="50" style="border-right: 1px dotted gray"><b>IPSec<br>IKEv1</b></td>
| Windows XP [[#XP | <sup>{{Hinweis|!}}</sup> ]]|| class="bc__teilweise blackalert" | <br><small>nur Version 1.0.1</small>|| class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__teilweise blackalert" |
    <td width="50" style="border-right: 1px dotted gray"><b>IPSec<br>IKEv2</b></td>
|-
    <td width="50" style="border-right: 1px dotted gray"><b>IPSec<br>XAuth</b></td>
| Windows Vista [[#XP | <sup>{{Hinweis|!}}</sup>]] || class="bc__ja check" | || class="bc__ja check client" |  || class="bc__ja check client" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
    <td width="50" style="border-right: 1px dotted gray"><b>L2TP/<br>IPSec</b></td>
|-
    <td width="50" style="border-right: 1px dotted gray"><b>PPTP'''</b></td>
| Windows 7 [[#W7 | <sup>{{Hinweis|!}}</sup>]]|| class="bc__ja check" | || class="bc__ja check client" |  || class="bc__ja check" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
  </tr>
 
  <tr border=1px>
|-
    <td align=left style="border-bottom: 1px solid gray">Windows XP</td>
| Windows RT || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b><br>nur Version 1.0.1</td>
|-
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
| Windows 8 || class="bc__ja check" | || class="bc__ja check client" |  || class="bc__ja check" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
|-
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
| Windows 8.1 || class="bc__ja check" | || class="bc__ja check client" |  || class="bc__ja check" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
|-
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
| Windows 10 || class="bc__ja check" | <br><small>ab Ver.2</small> || class="bc__ja check client" |  || class="bc__ja check" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
  </tr>
|-
  <tr>
| Windows Server 2003R2 || class="bc__ja check" | || class="bc__ja check client" |  || class="bc__nein ban" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
    <td align=left style="border-bottom: 1px solid gray">Windows Vista</td>
|-
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
| Windows Server 2008 || class="bc__ja check" | || class="bc__ja check client" |  || class="bc__ja check client" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
|-
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
| Windows Server 2008R2 || class="bc__ja check" | || class="bc__teilweise blackalert" |  || class="bc__ja check" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
|-
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
| Windows Server 2012 || class="bc__ja check" | || class="bc__teilweise blackalert" |  || class="bc__ja check" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
|-
  </tr>
| Windows Server 2012R2 || class="bc__ja check" | || class="bc__teilweise blackalert" |  || class="bc__ja check" |  || class="bc__ja check client" |  || class="bc__teilweise blackalert" |
  <tr>
|-
    <td align=left style="border-bottom: 1px solid gray">Windows 7</td>
| Windows Phone 7 || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
|-
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
| Windows Phone 8 || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__nein ban" |
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
|-
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
| Windows Phone 8.1 || class="bc__nein ban" |  || class="bc__nein ban" |  || class="bc__teilweise blackalert" |  || class="bc__nein ban" |  || class="bc__teilweise blackalert" |
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
|-
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
| Linux || class="bc__ja check" | <br><small>OpenVPN</small> || class="bc__ja check" |  || class="bc__ja check" |  || class="bc__ja check" |  || class="bc__teilweise blackalert" |
  </tr>
|-
  <tr>
| Apple OS X || class="bc__ja check" | <br><small>Tunnelblick</small> || class="bc__ja check client" |  || class="bc__nein ban" |  || class="bc__ja check" |  || class="bc__teilweise blackalert" |
    <td align=left style="border-bottom: 1px solid gray">Windows RT</td>
|-
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
| Apple iOS || class="bc__ja check" | <br><small>OpenVPN</small> || class="bc__teilweise blackalert" |  || class="bc__teilweise blackalert" |  || class="bc__ja check" |  || class="bc__teilweise blackalert" |
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
|-
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
| Android || class="bc__ja check" | <br><small>OpenVPN</small> || class="bc__teilweise blackalert" |  || class="bc__teilweise blackalert" |  || class="bc__ja check" |  || class="bc__teilweise blackalert" |
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
|-
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
! Betriebs&shy;system !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
|}
  </tr>
<br>
  <tr>
<div class="legende">'''Legende:'''</div> <div class="bc__ja check legende"> Empfohlen</div><div class="bc__teilweise blackalert legende"> nicht empfohlen</div><div class="bc__nein ban legende" style="border: 1px solid grey;"> nicht möglich</div>
    <td align=left style="border-bottom: 1px solid gray">Windows 8</td>
 
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows 8.1</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows 10</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>Ab V2</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows Server 2003R2</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows Server 2008</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows Server 2008R2</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows Server 2012</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows Server 2012R2</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows Phone 7</td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows Phone 8</td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Windows Phone 8.1</td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Linux</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>OpenVPN</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#FF5555  style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555  style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Apple OS X</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>Tunnelblick</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>mit Client</td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td style="border: 1px dotted grey; border-collapse: collapse;"><b>/</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Apple iOS</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>OpenVPN</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <td align=left style="border-bottom: 1px solid gray">Android</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b><br>OpenVPN</td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#CCFFCC style="border: 1px dotted grey; border-collapse: collapse;"><b>+</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
    <td bgcolor=#FF5555 style="border: 1px dotted grey; border-collapse: collapse;"><b>-</b></td>
  </tr>
  <tr>
    <th colspan=7>&nbsp;</th>
  </tr>
  <tr>
    <td>&nbsp;</td>
    <td bgcolor=#CCFFCC style="border: 1px dotted white; border-collapse: collapse; border-radius: 6px"><b>+</b><br>Empfohlen</td>
    <td>&nbsp;</td>
    <td bgcolor=#FF5555 style="border: 1px dotted white; border-collapse: collapse; border-radius: 6px"><b>-</b><br>Nicht Empfohlen</td>
    <td>&nbsp;</td>
    <td style="border: 1px dotted grey; border-collapse: collapse; border-radius: 6px"><b>/</b><br>Nicht Möglich</td>
  </tr>
</table>


====Erklärung zur Tabelle====
'''Erklärung zur Tabelle'''
OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher.<br>
OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher.<br>
Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten. Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden.<br>
Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten. Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden.<br>
Zeile 372: Zeile 199:
Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität.
Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität.


Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht Empfohlen.
Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht empfohlen.


Windows XP ist ein von Microsoft nicht mehr unterstütztes Betriebssystem, welches in der Regel nicht mehr mit Sicherheitsupdates versorgt wird. Daher sehen wir auch eine Gefährdung für das Netzwerk mit welchem sich dieser per VPN Rechner verbinden soll.
<p><span id="XP"><sup>{{Hinweis|!}}</sup> </span>Windows XP und Windows Vista sind von Microsoft nicht mehr unterstützte Betriebssysteme, welche in der Regel nicht mehr mit Sicherheitsupdates versorgt werden. Daher sehen wir auch eine Gefährdung für das Netzwerk mit welchem sich dieser Rechner per VPN verbinden soll.</p>


====Einrichtung der Roadwarrior-Verbindungen====
<p><span id="W7"><sup>{{Hinweis|!}}</sup> </span>Ebenfalls sollte Windows 7 nur noch verwendet werden, wenn die erweiterten Sicherheits-Updates (Extended Security Updates, ESU) bezogen werden.<br>
{|
Ist dies nicht der Fall ist auch Windows 7 als unsicher einzustufen und stellt eine Gefährdung für Netzwerke dar.</p>
|


*Openvpn
==== Einrichtung der Roadwarrior-Verbindungen ====
**[[V11_OpenVPN_Roadwarrior | Konfiguration einer Openvpn Roadwarrior Verbindung für Windows ]]
**[[OpenVPN_mit_iOS | Konfiguration einer Openvpn Roadwarrior Verbindung für iOS ]]
**[[MAC_und_OpenVPN | Konfiguration einer Openvpn Roadwarrior Verbindung für OS X ]]


*IPSec
* Openvpn
**[[IPSec_-_Roadwarrior_mit_XAuth | Konfiguration einer Xauth-Verbindung iOS/Android/Greenbow]]
** [[V11_OpenVPN_Roadwarrior | Konfiguration einer Openvpn Roadwarrior Verbindung für Windows ]]
**[[IPSec_Site_to_End | Konfiguration einer nativen IPSec-Verbindung ]]
** [[OpenVPN_mit_iOS | Konfiguration einer Openvpn Roadwarrior Verbindung für iOS ]]
** [[MAC_und_OpenVPN | Konfiguration einer Openvpn Roadwarrior Verbindung für OS X ]]  


*L2TP
* IPSec
**[[L2TP_Roadwarrior | Konfiguration einer L2TP-VPN Verbindung]]
** [[IPSec_-_Roadwarrior_mit_XAuth | Konfiguration einer Xauth-Verbindung iOS/Android/Greenbow]]
** [[IPSec_Site_to_End | Konfiguration einer nativen IPSec-Verbindung ]]


*PPTP
* L2TP
**[[Howtos-V11/PPTP_VPN | Konfiguration einer PPTP-VPN Verbindung]]
** [[L2TP_Roadwarrior | Konfiguration einer L2TP-VPN Verbindung]]
|}
 
* PPTP
** [[Howtos-V11/PPTP_VPN | Konfiguration einer PPTP-VPN Verbindung]]

Version vom 8. Mai 2020, 16:48 Uhr




























Übersicht über die verschiedenen VPN-Verbindungstechniken der Securepoint UTM


Letzte Anpassung zur Version: 11.8


Änderungen:

  • Artikelanpassung
  • Korrektur: Kein RSA bei IKEv2 möglich
  • Hinweise zum Supportende von Windows XP, Vista, 7


Vorherige Versionen: -


In diesem Artikel werden die verschiedenen Techniken zum Aufbau einer VPN-Verbindung (Virtual Private Network), die in der Securepoint UTM installiert sind, erläutert und es wird eine Übersicht gegeben, wann diese am besten eingesetzt werden sollten.


Techniken

IPSec VPN

Protokolle: IKE, ESP, NAT-Traversal
Ports: 500/UDP (IKE), 4500/UDP (NAT-Traversal)


IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen Protokollen, der sowohl für Site to Site als auch für End to Site, die von uns als Roadwarrior bezeichneten, Verbindungen eingesetzt werden kann.

IPSec bringt aber einige Merkmale mit, die sich teilweise negativ auf den Aufbau und die Stabilität einer VPN Verbindung auswirken können. Insbesondere bei Verbindungen die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz.

In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE Protokolls nicht geändert.

Um trotzdem eine möglichst Stabile Verbindung zu erstellen, hat sich der Einsatz von RSA-Schlüsseln statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt.

SSL VPN

Protokolle: SSL, TLS
Ports: Standard 1194/UDP; Kann aber fast jeden freien Port und auch das Protokoll TCP nutzen.


Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an. OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus.
Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar. ARM-Prozessoren werden derzeit von OpenVPn nicht unterstützt.

L2TP VPN

Protokolle: L2TP
Ports: 1701/UDP


Das L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination aus den Protokollen PPTP (Point to Point Tunneling Protokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Protokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt.

PPTP VPN

Als nachgewiesenermaßen unsicheres Protokoll wird PPTP VPN von der UTM nicht mehr unterstützt.

Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.

Protokolle: PPTP, GRE
Ports: 1723/TCP


Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.
Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation Protocol (GRE) gesteuert.


Site to Site VPN Verbindungen

In der folgenden Tabelle wird dargestellt, welche VPN-Technik im Zusammenspiel mit welcher Internetverbindung nach unserer Erfahrung am stabilsten läuft.

VPN-Art NAT ADSL/SDSL VDSL Kabelanschluss LTE UMTS
SSL-VPN ohne NAT
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
SSL-VPN NAT auf einer Seite
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
SSL-VPN NAT auf beiden Seiten
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv2 ohne NAT
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv2 NAT auf einer Seite
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv2 NAT auf beiden Seiten
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv1 ohne NAT
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
IPSec IKEv1 NAT auf einer Seite
ADSL/SDSL
mit RSA-Schlüssel
VDSL
Kabelanschluss
LTE
UMTS
mit RSA-Schlüssel
IPSec IKEv1 NAT auf beiden Seiten
ADSL/SDSL
VDSL
Kabelanschluss
LTE
UMTS
Legende:
Empfohlen
möglich
nicht empfohlen


Erklärung zur Tabelle
Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann.

RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden.

Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden.

Einrichtung der Site-to-Site Verbindungen




Roadwarrior oder End to Site VPN Verbindungen

Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden.

Die folgende Tabelle gibt eine Übersicht.

Betriebs­system SSL-VPN IPSec IKEv1 IPSec IKEv2 IPSec XAuth L2TP / IPSec
Windows XP
nur Version 1.0.1
Windows Vista
Windows 7
Windows RT
Windows 8
Windows 8.1
Windows 10
ab Ver.2
Windows Server 2003R2
Windows Server 2008
Windows Server 2008R2
Windows Server 2012
Windows Server 2012R2
Windows Phone 7
Windows Phone 8
Windows Phone 8.1
Linux
OpenVPN
Apple OS X
Tunnelblick
Apple iOS
OpenVPN
Android
OpenVPN
Betriebs­system SSL-VPN IPSec IKEv1 IPSec IKEv2 IPSec XAuth L2TP / IPSec


Legende:
Empfohlen
nicht empfohlen
nicht möglich


Erklärung zur Tabelle OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher.
Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten. Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden.

Für die OpenVPN Clients oder den "Tunnelblick", wird die fertige Konfiguration mit den benötigten Zertifikaten heruntergeladen und in den Client Importiert. Auch dieses ist einfach umzusetzen. Lediglich beim Apple iOS müssen die Zertifikate mit in die Konfigurationdatei kopiert werden, so dass der OpenVPN Client auf nur eine einzige Datei zugreifen muss. Die passende Anleitung finden Sie im Wiki.

Bei einem Windows Phone 8 werden IPSec- und L2TP-VPN erst ab Version 8.1 unterstützt.

Bei Linux und Unix hängt es stark von der Distribution ab, welcher IPSec-VPN Client mitgeliefert wird.

Der Hinweis "mit Client" bezieht sich auf unsere Erfahrung mit dem TheGreenbow oder NCP Client. Ansonsten gehen wir, bis auf SSL-VPN, von den bordeigenen VPN-Clients aus, die die Betriebssysteme mitbringen.

Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität.

Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht empfohlen.

Windows XP und Windows Vista sind von Microsoft nicht mehr unterstützte Betriebssysteme, welche in der Regel nicht mehr mit Sicherheitsupdates versorgt werden. Daher sehen wir auch eine Gefährdung für das Netzwerk mit welchem sich dieser Rechner per VPN verbinden soll.

Ebenfalls sollte Windows 7 nur noch verwendet werden, wenn die erweiterten Sicherheits-Updates (Extended Security Updates, ESU) bezogen werden.
Ist dies nicht der Fall ist auch Windows 7 als unsicher einzustufen und stellt eine Gefährdung für Netzwerke dar.

Einrichtung der Roadwarrior-Verbindungen