Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
Das OPENVPN VPN macht in der Appliance Lösung alles bevorzugt auf Port 443. Das Fritzbox VPN ist IPSEC VPN was in der Regel nicht aus alles Netzwerken erlaubt ist.
Die Change das das OpenVPN von der Arbeit aus geht ist deutlich höher als das Fritzbox VPN.
OK, aber der Nachteil ist, dass ich dann im Heimnetzwerk noch einen OpenVPN Server dauerhaft laufen lassen muss...
Wie sieht es sicherheitstechnisch aus, dann braucht es ja ein Portforwarding im Heimnetz auf den OpenVPN Server, ist das im Vergleich zum VPN direkt auf der FritzBox ebenfalls ein Nachteil?
Was ist hier der Vorteil gegenüber der Lösung das VPN direkt auf dem heimischen Router (i.d.R. FritzBox) einzurichten?
Der Vorteil von OpenVPN liegt im VPN on demand. Das kann bisher AFAIK keine andere Lösung für den Heimbereich (wenn man sich nicht gerade einen Cisco Router hinstellt). Das heißt soviel wie, dass das iPhone automatisch eine VPN Verbindung aufbaut, wenn nötig. Bin ich unterwegs und will auf eine Netzwerkressource zuhause zugreifen, gebe ich nur die IP Adresse ein oder starte die entsprechende App (wie z.B. die GIRA Homeserver App) und das VPN wird im Hintergrund aufgebaut. Bei anderen VPN Lösungen wie z.B. der FritzBox muss ich zuerst in die Einstellungen App gehen und das VPN manuell aufbauen. Also ein erheblicher Komfortgewinn.
Zudem sollte ein zertifikatsbasiertes VPN sicherer sein als "einfaches" IPSec. Aber da hab ich nur gefährliches Halbwissen. Für den Heimbereich sollten aber beide Varianten ausreichend sicher sein (zumindest wesentlich besser als PPTP).
Wie sieht es sicherheitstechnisch aus, dann braucht es ja ein Portforwarding im Heimnetz auf den OpenVPN Server, ist das im Vergleich zum VPN direkt auf der FritzBox ebenfalls ein Nachteil?
Wenn du dir mittels Portforwarding ein Loch in die Firewall bzw. das NAT des Routers bohrst, dann wird ja erstmal nur der spezifische Port an einen bestimmten Rechner weitergeleitet. Läuft auf diesem Rechner kein Dienst, der auf diesen Port lauscht, reagiert der Rechner auch nicht darauf. Im Falle von OpenVPN hängt die Sicherheit im Grunde nur von OpenVPN ab. Hat dieses keine bekannten Schwachstellen, bist du sicher. Gibt es Schwachstellen, könntest du ein Problem haben. Das gleiche gilt aber auch für die FritzBox selber. Anfang des Jahres hatte diese eine Schwachstelle, wer die Firmware nicht aktualisiert hat, ist jetzt verwundbar. Gibt es eine Schwachstelle in OpenVPN und du aktualisierst deine Installation nicht, bist du verwundbar.
Warum wird Port Forwarding hier oft als "böse" hingestellt? Weil es oft als einfache Möglichkeit "missbraucht" wird, um aus dem Internet auf Netzwerkressourcen zugreifen zu können. Stellst du jetzt z.B. den Port 80 eine GIRA HS mittels Portforwarding ins Internet, hängt da nun ein Gerät, das bestimmt nicht mit den aktuellsten Sicherheitspatches versorgt wird, direkt im Internet und wartet auf einem Standardport auf eingehende Verbindungen. Bei Port 80 (Standard Webserver Port) kann es dir sogar passieren, dass Google vorbei schaut und deinen Homeserver in ihren Suchindex auf nimmt. Immerhin listet Google mit den richtigen Suchbegriffen auch zig tausend private FritzBoxen auf. Die Verbindung zwischen z.B. der GIRA Homeserver App und dem HS ist IMHO nicht verschlüsselt und basiert nur auf Benutzername und Passwort. Damit kann jeder Knoten im Internet bequem dein Benutzername und Passwort mitlesen. Bist du vielleicht sogar in einem öffentlichen WLAN z.B. im Mc Donalds unterwegs, kann es sogar problemlos jeder andere WLAN Nutzer mitlesen und sich dann problemlos bei dir zuhause einwählen.
Portforwarding ist also nicht von vornherein böse und unsicher... aber wenn man es macht, sollte man auch wissen was man da tut.
Mit freundlichen Grüßen Niko Will
Logiken und Schnittstelle zu anderen Systemen: smarthome.py - Visualisierung: smartVISU - Gira TS3 - iPhone & iPad - Mobotix T24 - ekey - Denon 2313 - Russound C5 (RIO over TCP Plugin) -
vielleicht ein bisschen OT - aber trotzdem: für den Zugriff "nur" auf die Männer-Visu des HS nutze ich seit langem ein Apache als Reverse-Proxy mit zertifikatsbasierender Autorisierung.
Vorteil: einfach den Webclip anklicken und man ist sofort auf der Visu. Kein aufbauen eines VPNs (auch wenn es on demand automatisch geht).
Das notwendige Zertfikat installiert man einmalig auf dem Client (auf iOS zusammen minder Webclip für die Visu). 100% Komfort, wenig Aufwand.
Außerdem funktioniert das auch von meinem Firmenrechner (da sollte man kein VPN installieren, Zertifikat importieren ist aber unkritisch).
Wer auch mal mehr möchte kann ja ein OpenVPN für andere Zwecke auch installieren.
Eine Schritt-für-schritt Anleitung gibt's hier im Forum.
Aber gratuliere zum Erfolg - und das eine schließt das andere ja nicht aus. Ein opnenVPN hab ich auf Linux Routern schon etliche Jahre - mit der schönen Anleitung hier (DANKE!) werde ich das jetzt wohl auch auf dem iPhone/iPad mal zum Laufen kriegen. Das letzte Mal hatte ich es nicht geschafft - jetzt sicher :-)
Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.
Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.
Kommentar