Koozali.org: home of the SME Server
Other Languages => Deutsch => Topic started by: Fill on May 24, 2008, 11:36:40 PM
-
Hallo zusammen,
also ich bin noch ein ziemlicher Anfänger auf dem Gebiet VPN etc.
Und nun mein Problem:
Ich bin dieses HOWTO durchgegangen http://sme.firewall-services.com/spip.php?article4 aber irgendwie bekomme ich keine Verbindung hin.
Zertifikate hab ich erstellt, OpenVPN auf dem Client installiert etc. dass hat alles geklappt)
Nur die Verbindung von meinem Client-PC zum SME-Server klappt nicht. Muss ich noch bestimmte Benutzer anlegen?
Habe schon die ganze zeit gegooglet und gesucht aber nichts gefunden was mir weiter hilft.
Kann mir bitte einer genau erklären wie ich vorgehen muss. Und was ich noch beachten und zusätzlich einstellen muss.
Vielen Dank schon mal für eure Hilfe.
MFG Fill
-
Nimm PPTP ist schon onboard und geht ohne extra Pregramm mit den Windowsmitteln.
Einfach bei Sicherheit- Fernzugriff -- Anzahl der PPTP Tunnel einstellen und speichern.
Dann bei Windows , Netzwerkumgebung --- Neue Verbindung erstellen -- bei XP ist es glaub ich Verbindung mit dem Arbeitsplatz und dort deine xxx.dyndns.xxx adresse . Benutzername und Passwort und verbinden ...
Fertig
Marcel
-
Hi,
ich nutze auch PPTP das ist total simpel und funktioniert einwandfrei.
-
@marcel
danke erst mal für die schnelle Hilfe...also ich muss dann meine IP-adresse von meinem Provider eingeben und der benutzername und das kennwort von dem SME-Server??? und muss ich noch irgend ein port an meinem router öffnen bzw. weiterlleiten? und ist das dann alles auch sicher??
sry für meine blöden fragen..aber bin noch ein echter anfänger:))
mfg fill
-
Falls du nen Router davor hast,
1723 UDP
1723 TCP auf SME weiterleiten,
und PPTP Passtrue oder was auch immer, kommt auf den router an, weiterleiten an SME.
Im allgemeinen kann ich jedoch den SME im Server-Gateway modus nur empfehlen, ein weiterer Router im vorzuschalten ist stromverschwendung.
Die Firewall des SME is besser und schneller als jeder handelsübliche LowCost Router .
Anmelden beim PPTP , geht dann über bestehende SME Benutzer, admin ist Standard eingeschaltet.
IP Adresse sollteste dnydns.org benutzen.
um aus veränderbaren IP´s des Providers , einen namen zu machen, also z.b. meinsme.dyndns.org, diese adresse wird dann automatisch bei jeder einwahl des SME an dyndns, gesendet und aktuallisiert. Dann kommst von überall an deinen SME, an seine Mails und und und ..
Marcel
-
danke marcel hat jetzt alles geklappt;-) verbindung steht *freu*
-
Ich verwende auch sehr oft eine PPTP Verbindung, jedoch muss man hierzu offen sagen, dass es sich hierbei um eine nicht so sichere Verbindung handelt. OpenVPN hingegen verwendet einen SSH Tunnel der mit entsprechenden Zertifikaten und Keys Verschlüsselt ist und dadurch sehr sicher ist. Da sicherlich einige mit OpenVPN arbeiten, sollte zumidest die Lösung hier noch eingebracht werden, wie man eine Verbindung zum SME herstellt.
Ist man nach der Anleitung exakt vorgegangen, so kann man sich die Zertifikate im Server-Manager herunterladen und in das config Verzeichnis des Windows Client kopieren. Ebenso ist es möglich die fertige Konfiguration für den Windows Client herunterladen.
Kommt es jetzt noch nicht zu einer Verbindung, sollte auf jeden Fall (falls ein Router dazwischen hängt) der Port 1194 an den SME geroutet werden. Ein weiteres häufiges Problem ist die Vergabe eine IP Adresse an das TAP Device, wenn der DHCP verwendet wird. Hier hilft folgender Befehl, der ganz ans Ende des Configfiles des Windows Client gesetzt wird.
Bsp.: einer Windows Client OpenVPN Konfiguration:
rport 1194
proto udp
dev tap
nobind
remote swt-online.de
tls-client
tls-auth ta.key 1
tls-remote server
ns-cert-type server
auth-user-pass
ca ca.crt
cert client.crt
key client.key
mtu-test
pull
comp-lzo
verb 4
ip-win32 ipapi
@Fill
Da der OpenVPN Client jede Menge Logfile produziert, wäre natürlich dieses bei der Fehlersuche sehr hilfreich gewesen.
Was ich hier gemacht habe ist ja nur Spekulation, jedoch kann ich nicht wissen was bei Dir los war, oder ist.
Da es nun mit PPTP funktioniert, kannst Du Dir das ja nochmals überlegen und vielleicht ein Logfile hier rein posten.
yythoss
-
Marcel hat mich auf den Trichter mit dem PPTP gebracht nachdem ich ein paar Moante mit OVPN mein Home-Office mit dem Firmensitz
verbunden hatte. Es funktioniert einwandfrei. Bin dann aber wieder irgendwann auf OVPN gegangen wg Sicherheit - sollte aber jeder selbst
entscheiden.
Folgt man strickt der Anleitung zum OVPN bekommt man dieses contrib auch schnell zum Funktionieren, Fill - das kriegst Du als Novize auch hin
(gehoere auch zu dieser Gattung) - must halt nur "hartnaeckig dran bleiben", mit dem GUI fuer OVPN unter Windows ist es problemlos. Ich mache
jetzt auch remote access auf meinen PC in der Firma via OVPN (der SME ist "transparent") - funzt prima.
gruss
gerd
-
Also das mit der Sicherheit , kann ich so aber nicht stehen lassen. Ihr denk openVPN ist sicherer ? Sicherer als "mein :) " PPTP, alles quatsch.
Jede Tunnelverbindung ist eben so sicher wie das (Komplexe) Passwort und der username der zur Einwahl benötigt wird... Ok die Zertifikate die Ihr euch da selber ausstellt ist natürlich ein dickes PLUS :)...
Aber ich kenn eben schon OpenVPN , da wusstet ihr noch nicht mal was von INTERNET :) ...
OPENVPN ist der Teufel ....
Aber mal im ernst,, selbst große Unternehmen , Siemens , Telekom und mein Fraunhofer nehmen und setzen auf das PPTP. Die Tunnel sind nicht abhörbar und nur zu knacken wenn man den Usernamen und das Passwort per Bruteforce knackt , was wie Ihr alle wisst ewig dauern kann.Und denkt nur an eure Telekom Kennung ,, das is auch PPTP.
http://forum.2-com.de/draytek-vigor-thema3109.html (http://forum.2-com.de/draytek-vigor-thema3109.html)
Marcel
-
Wie schon gesagt, ich verwende PPTP auch sehr gerne, da es sehr einfach zu konfigurieren ist.
Aber, nur mit den richtigen Logindaten ist man schon auf dem Server, da ein Benutzernamen meisten schon bekannt ist, fehlt "nur noch" das Password. Bei OpenVPN jedoch braucht man in jedem Fall die Keys um an den Server zu gelangen.
Ich sehe eigentlich nur hier das Problem, dass der Tunnel belauscht wird, glaube ich eher nicht.
Ich habe ein paar Kunden, bei denen die Außendienstmittarbeiter nur mit OpenVPN an den Server dürfen, da Ihnen das PPTP zu unsicher ist.
yythoss
-
Wie ist das dann mit der Verschlüsselung? Wenn ich z.B. bei OVPN "4096" eingestellt habe, wo oder wie stelle ich die Verschlüsselungsstärke bei PPTP ein? :oops:
-
PPTP ist ja eine Entwicklung von Microsoft und hat eine 128 Bit Verschlüsselung.
yythoss
-
PPTP ist ja eine Entwicklung von Microsoft und hat eine 128 Bit Verschlüsselung.
yythoss
Das heißt, die Verschlüsselung reicht auch für sensible Anwendungen aus?
-
Ich denke schon, aber ich bin auch kein Hacker.
Aber 128Bit ist schon sehr viel.
Wie Marcel schon geschrieben hat, so nutzen namhafte Firmen dieses Verfahren, was einem ein sichers Gefühl verleiht.
yythoss
-
Wie Marcel schon geschrieben hat, so nutzen namhafte Firmen dieses Verfahren, was einem ein sichers Gefühl verleiht.
yythoss
Danke erstmal! Ich werde es testen.
Allerdings benutzen namhafte Firmen auch Internet Explorer und Outlook! :-D
-
Hierzu muss ich mich jetzt aber auch mal melden :)
128Bit Verschlüsslungen werden längst nicht mehr als sicher eingestuft
kleiner Artikel darüber:
http://www.zdnet.de/security/analysen/0,39029458,39188138-1,00.htm
Auch der Aussage von Marcel das PPTP von namhaften Firmen eingesetzt wird und dies Automatisch sicher ist kann ich nicht bestätigen. Das dies namhafte Firmen einsetzten was ich nicht glaube bzw. nicht in kritischen Bereichen da wird nämlich IPSec verwendet. EADS, Mercedes, Vodafone mit diesen Firmen hatte ich schon kontakt und weiß es aus eigener Erfahrung. Solche Firmen arbeiten vielleicht damit weil es zu Problem kommen kann bei der Software- und Hardwareumstellung und deren kosten(Beispiel Telekom: Telekom plant eh den umstieg auf IPV6 -> IPSec). Bestes Beispiel EC -Karten bzw. deren Automaten benutzten denn DES-Algorithmus der längst nicht mehr als sicher eingestuft wird bei einer Verschlüsselung unter 512Bit. Bis im Jahre 2015 wird die Bit länge auf über 3000bit steigen warum die Rechner werden schneller. So viel zum Thema 128 Bit. OpenVPN mit min 2048bit Verschlüsselung und Zertifikarten bitten eine 10mal höhere Sicherheit wie PPTP und kommt fast an IPsec ran.
Woher ich das weiß ich besuch zurzeit zwei Vorlesungen als Vertiefungsrichtung Netzwerksicherheit und Angewandte Kryptographie.
PS: Ich hatte auch schon mit Fraunhofer-Institute Freiburg(zusammenarbeit mit meiner FH) zu tun die sich mit Angewandte Festkörperphysik beschäftigen. Deren IT war absolut katastrophal das Wort IT-Sicherheit war bei denen bis vor kurzem ein Fremdwort. Wie man sieht auch Firmen mit kritischen Bereichen setzten Protokolle ein die längst als unsicher eingestuft werden. Ich sag nur als kleines Beispiel Telnet.
-
Ganz so krass wollte ich das nicht schreiben und allen Angst machen, aber Du hast natürlich Recht!
Aus diesem Grunde habe ich ja mal angefangen zu schrieben, dass OpenVPN sehr sicher ist und es wirklich einfach zu installieren und zu konfigureiren ist. Und man ist damit auf der sichern Seite.
yythoss
-
gut dazu ist natürlich zu sagen das es sehr schwer sein wird die Auth packete der PPTP Verbindung abzufangen. Von einem netz das unter eurer Kontrolle steht also zb. bei euch daheim kann es eigentlich nur der Provider bzw der liebe nette Staat. In einen öffentlichen Netz FH/Uni, internetcafe, Hotspot sieht das ganze dann schon einfacher aus. Was bedeutet jeder der mit euch an einem Hub,Switch,Router,Access Point an einem Internen Netz hängt hat die möglichkeit PPTP zu knacken. Auch wenn vorher andere Angriffe vorraussetzung hierfür sind zb. ManInTheMiddle-Attacke.
-
Danke erstmal! Ich werde es testen.
Nachdem ich nur Probleme mit PPTP hatte, bleibe ich bei openVPN (Never run a changing system! :lol:)