Ähm, wie baust Du denn die VPN Verbindung mit Android auf? Dachte dies scheitert schon an der Verfügbarkeit von OpenVPN auf Android.

Hoi

Du hast zwar in der Browserzeile die URL geschwärzt, aber im Warnungstext nicht.

Diese Meldung kommt bei mir immer wenn ich auf meine Systeme per https zugreife, da ich kein eigenes Zertifkat habe.

Auch auf vielen anderen Seiten kommen diese Meldungen. EInfach sagen "trotzdem fortfahren" und gut ist. Hatte wegen der Meldung noch nie Zugangs oder Verbindungsprobleme.

Gruß
Sven

@Bodo
upps, da habe ich nicht richtig aufgepasst, lade gleich ein aktualisiertes Bild hoch.

@webfischly
Für Android gibt es mittlerweile ein App was auch ohne Root einen VPN Tunnel ermöglicht. --> VPNCilla.
Klappt super mir meiner 7390, Anleitung liegt dem Tool bei.

@sven29da
Zugangsproblem hatte ich auch nicht, die Frage ist bloß inwieweit ist hier noch etwas verschlüsselt?

Zumindest die Verbindung zum Man-In-The-Middle ist trotzdem verschlüsselt
Die Verbindung zur Gegenstelle ist verschlüsselt, aber wenn das Zertifikat nicht verifiziert werden kann, dann weisst du nicht mit dem du gesichert kommunizierst. Du könntest immerhin versuchen, das self-signed Zertifikat anhand des Fingerprints zu prüfen.

Gruss, Othmar

Geht damit auch IPSEC oder nur PPTP?
Bei meinem S1 konnte ich bislang nur per PPTP mit dem bereits vom Android zur Verfügung gestellten VPN es realisieren.

es geht wohl über IPSec, am besten einfach ausprobieren, läuft bei mir auf dem S2 und auf dem Asus Transformer Infinity

Um es klarzustellen - mit meinen nicht IT Worten
Eine https Verbindung benötigt ein Zertifikat. Dieses kann man als Hersteller z.b. des EibPC (kostenpflichtig) registrieren lassen. Damit ist jedem, der dieses Zertifikat nutzt eine gewisse Sicherheit gegeben. Wir haben das Zertifikat nicht registriert.
Wenn man nun https aufruft, so schickt der EibPC das Zertifikat und der Browser schaut, ob er es registriert findet, wenn nicht, gibt es die obige Fehlermeldung. Das bedeutet aber nicht, dass die Verbindung nicht sicher wäre, sondern eben nur, dass das Zertifikat nicht offiziell hinterlegt wurde. Wenn man sich also sicher ist, dass man die richtige IP eingeben hat, so akzeptiert man dieses Zertifikat am Browser und dann ist man über https verbunden.

wobei, wenn ich das soweit richtig durchblickt habe, der Fehler auch mit einem registrierten Zertifikat käme, weil zusätzlich die Adresse aus dem Zertifikat (http) nicht mit der aufgerufenen Seite (z. B.: https://xyz.dnsalias.com/) zusammen passt.

Richtig, ein Zertifikat welches von einer vom Browser / OS als vertrauenswürdig eingestuften CA ausgestellt wurde löst das Problem nicht da jeder EibPC über eine andere URL aufgerufen wird und die URL ist im Prinzip genau das worauf das Zertifikat ausgestellt wird. Und ein Wildcard-Zerifikat für * bzw. *.* wird man nicht so einfach kriegen.

Das selbstsignierte Zertifikat hat halt den eklatanten Nachteil dass es mich ca. 30 Minuten kostet, eine eigene CA aufzusetzen die von sich behauptet, Zertifikate für Enertex ausstellen zu dürfen - und das auch tut, somit wäre ein theoretischer MITM ziemlich einfach weil ich dem User in der Session ziemlich genau das Zertifikat zeigen kann das er erwartet - kaum einer wird das Zertifikat über die normalen Informationen hinaus prüfen und den Fingerprint vergleichen.

Schön ist es immer wenn man selbst ein Zertifikat hochladen kann - im Privatbereich mit dynamischen IPs und DynDNS hilft das aber auch nicht wirklich.

Die einfachste Lösung ist tatsächlich, durch ein VPN zuzugreifen, VPN ist deutlich weniger kaputt als das ganze Zertifikatsgelurche.

Kann laut dem Entwickler nicht funktionieren, da erst ab Android V4 die App ohne Root funktioniert

oh, das mag sein, habe auf beiden Geräten 4.0.3
Allerdings auch gerootet, da ich gerne mit Custom Mods arbeite, allein schon wegen der schlechten Update- Politik von Samsung.

Das geht aber laut Info nicht mit OpenVPN (EibPC)?

Es ist alles verschlüsselt. Es geht hier darum, ob du wirklich mit deinem EibPC verbunden bist, oder mit jemanden, der sich als dein EibPC ausgibt.

Eben, jeder User bräuchte ein eigenes Zertifikat. Wobei die "vertrauenswürdig eingestuften CA" eigentlich auch nur ein Pferdefuß für den simplen Gebrauch sind, da die CA eben auch Angriffsfläche bietet (siehe z.B. SSL-Vorfall: Gefälschtes Google-Zertifikat seit Mitte Juli 2011 im Umlauf - Golem.de). Für den Heimgebrauch meiner Meinung nach überflüssig.

Ich verstehe jetzt nicht ganz, was du hier meinst. Der EibPC erstellt doch völlig selbstständig ein selbst signiertes Zertifikat, das man (zumindest beim Firefox) nur ein mal prüfen und akzeptieren muss. Falls es sich ändert, meckert Firefox natürlich (möglicher MITM).

Auch bei VPN und SSH werden doch die Gegenstellen über Zertifikate oder Fingerprints identifiziert.