Standardmäßig ist das ganze Netz gekoppelt - also wird das gesamte Netzwerk gemappt (oder wie der Fachausdruck aus heissen mag).
Man kann aber auch (unter Expertenoptionen) angeben, welche IPs man über den EIbPC-VPN Tunnel weiterleiten möchte.

Ja, das hat er mittlerweile auch nochmals ausdrücklich geklärt und ich möchte mich hier für den falschen Verdacht auch entschuldigen.
Aber es war m.E. auch misverständlich. Nun haben wir das geklärt und uns aber wieder alle lieb...
Welchen Zufallsgenerator wie nutzen, weiss ich nicht genau. Allerdings kann ich nicht beurteilen, was wirklich "geheimdienst-echt" ist und was da im Haus gebraucht wird. Wenn ich etwas TipTop-Geheimes verbergen wollte, nähme ich sicher nicht den EibPC (oder das Wiregate) und hinge es ans gleiche LAN mit irgendwelchen Licht-Jalousiesteuerungen.

Zudem: Ich persönlich glaube nicht, dass man etwas unverwüstlich sicher machen kann (schon allein nicht wegen Gödels Satz). Und noch so aufwändig. DIe Enigma konnte man auch recht schön knacken, obwohl quasi "unmöglich".
Auf der anderen Seite, ist es gut, dass man zumindest "State of the Art" absichert. Das wird schon in 99.999% der Fälle sicher sein.

Ich denke jeder muss für sich selbst entscheiden, welches Produkt er einsetzt egal ob

- EIBPC
- Wiregate
- Fritzbox
- Lancom

spätestens wenn es darum geht viele Kundenanlagen zu betreuen, muss man sich irgendwann die Frage stellen, auf welches Produkt baut man auf,
hier mal dies oder das zu verwenden würde ich keinefalls machen.

Das gibt nur trouble bei bei der Suche nach dem Kunden Hr. Meier ja hat der Meier jetzt

- Fritzbox
- Lancom
- Wiregate
- EIB PC

usw. usw. nach zwei Bluescreens durch die installation eines zweiten IPSEC Clients auf meiner Maschine, gabs für mich nur noch einen Weg und nicht mehr dies oder das.....

Ich denke das Problem haben bestimmt andere auch.....

Richtig - ich habe in dem Posting keine Aussage über den EibPC gemacht. (Und wenn ich sonst welche mache, dann sicherlich keine, die den als Bastellösung sehen...). Meine Aussage war über eine selbst gebaute WAN Anbindung an den KNX.
Jup - und die Entschuldigung ist auch angenommen.

Das Problem hier im Thread ist nämlich ganz einfach:
=> Das Stichwort "Kunde" sagt: hier ist eine professionelle Lösung gefordert.
Und wenn man nicht in's interne Netz des Kunden darf, dann ist der Kunde fast immer eine andere Firma.
=> Hier muss besonderen Wert auf die Zuverlässigkeit (in allen Aspekten, wie z.B. auch Sicherheit) geachtet werden. (Das muss man bei einem Privaten als Kunden zwar auch, aber wenn's schief läuft, dürften die Kosten nicht so hoch sein. Und die Wahrscheinlichkeit ist geringer)
Richtig. Jemand der weiß was er bei der Anbindung tut, muss nicht fragen.

Und da man bei der Anbindung viel falsch machen kann, finde ich es nur positiv, dass hier gefragt wird! Man muss ja nicht alles können - man muss sich nur zu helfen wissen

Ich glaube nicht, dass der Geheimdienst bei Angriffsmöglichkeiten auf die Verschlüsselungen einen deutlichen Wissensvorsprung vor der Wissenschaft oder den bösen Jungs hat. Und das tatsächliche Ausnutzen der Angriffsmöglichkeiten ist dank Cloud Computing inzwischen schon für den Rotzlöffel von neben an einfach und bezahlbar geworden (WPA CRACKER bietet für 17$ innerhalb von ~20 Minuten das WLAN Passwort... - und das für einen Brute-Force Angriff! Ein lächerlich geringer Betrag gegenüber beim Porno-Filesharing aufzufliegen...).
Netzwerksicherheit ist daher kein Thema nur ein paar Leute mal draußen zu halten - sondern es ist ein Thema, dass ständig gemonitort werden muss und rechtzeitig Gegenmaßnahmen eingeleitet werden müssen. Gerade weil die Sicherheit der Algorithmen nicht bewiesen werden kann (außer bei der XOR-Verschlüsselung - nur ist da der Schlüssel genau so lang wie die Daten ).
Wer sich das als Elektriker oder SI zutraut, zeigt leider nur, dass er das Thema nicht verstanden hat.

PS: Das WireGate hatte ich außerdem empfohlen, da ich mir da eine 1-Box-Variante gut vorstellen könnte, d.h. den UMTS-Stick direkt am WireGate anschließen und glücklich sein

Ok, vielleicht ist ein Admin bereit, die Entrüstung bzw. das Wort Unverschämtheit aus meinem Posting zu streichen.
Ich würde es glauben, aber wissen tu ichs nicht. Außerdem können die ja noch mit anderen Methoden irgendwelche Schlüssel in Erfahrung bringen. Ich denke da weiss der Makki und Du sicher mehr als ich.

P.S: Hab ich nicht irgendwo gelesen, dass da jemand bezahlt wurde, der in den BSD Kernel eine Verschlüsselung für einen Auftraggeber eingebaut habe?

Und da muss soewieso zuerst mit dem Kunden geklärt werden, was denn erlaubt ist.

Aber das ist eben auch nur ein Brute-Force Angriff auf unsichere Passwörter. Auch wenn sie eine Datenbank mit 135 Mio. Wörtern haben sollte man mit einem halbwegs auf sicher getrimmten Passwort da außen vor sein. Bei unsicheren Passwörtern hilft eben die beste Verschlüsselung nichts.

Das wird eben auf einfache Weise (unabhängig vom verwendeten VPN) mit geschätzt 90 % aller UMTS-Tarife nicht funktionieren. Da sollte man sich zuerst beim Telekom-Support nach Möglichkeiten befragen.

Mal unabhängig von VPN: Siehe dazu die Methoden im schönen, freiheitlichen, westlichen Staat England:
England: Private Verschlüsselung illegal und dazu noch England: Gefängnis für verschwiegenes Passwort | law blog

Das geht schon, wenn die Fritzbox nicht der VPN-Server, sondern der Client ist. Sobald der Tunnel gegraben ist, spielt die öffentliche IP keine Rolle mehr.
Rennt bei mir mit OpenVPN und Zertifikaten einwandfrei.

So geht das natürlich. Da muss man halt einen zusätzlichen VPN-Server laufen lassen, macht die Sache wieder etwas komplexer. Vor allem, wenn man von überall Zugriff haben will.

Und genau deswegen hatte ich das WireGate empfohlen - genau das machen dem seine Hersteller schon seit Jahren, lange, lange bevor die zusätzlich im Bereich der Gebäudeautomatisierung eingestiegen sind...

Ja, aber das Wiregate ist doch der gleiche VPN Server wie der EibPC und hat das Problem, dass es von außerhalb verbunden werden muss. Der Server muss dann derjenige sein, der sich eigentlich einwählen müsste. Wie soll das gehen?

Naja, ein bisschen tricksen muss man schon
Normalerweise machen wir das so, das entweder via Wartungs-VPN (automatisch natürlich) die Ports von innen "aufgeschossen" werden (so ähnlich wie Skype das z.B. auch macht) oder es geht eben worst-case über einen zentralen Server bei uns auf den sich WG und "Client" connecten. Wenn man weiss wie die NAT-Maschinchen (aka Firewall) funktionieren und Zugriff auf beide Enden hat, also an config&Ports drehen kann, ist das nicht mehr als ein Shellscript..
Das ist zwar jetzt keine 3x-klicken-Standardfunktion aber durchaus in Projekten machbar, das Problem haben wir als VPN-Anbieter ja nicht erst seit dem WG und die Lösungen in der Schublade

Makki

Ja, mit einem vServer und ein paar iptables Regeln sollte das durchaus nicht all zu schwer zu machen sein (vorrausgesetzt man kennt sich mit Linux und iptables aus). Aber da das eben keine Fertiglösung mehr ist, habe ich ja geschrieben, dass es komplexer wird und damit eigentlich auch alle Empfehlungen hier im Thread hinfällig sind.
Dann muss man das halt selbst per Hand aufsetzen oder z.B. bei euch gegen angemessene Bezahlung eine "Sonderlösung" ordern

Nun, wir machen das schon sehr professionell.

Wir betreiben zig Racks in zwei Hochsicherheits-Rechenzentren in Frankfurt mit mehreren Internet-Uplinks mit eigenen IPv4 und IPv6 Adresspace und BGP-Routen sowie mehreren nationalen und internationalen Backbones.

Managed VPN ist unser Kernthema und größter Geschäftsbereich.

Daher auch die vielen VPN-Funktionen im WireGate. UMTS-Stick am WireGate funktioniert natürlich. Insofern sind dies keine Sonderlösungen sondern normale Standards aus unserem Produktportfolio.

Allerdings verlassen wir damit ein wenig das Thema des Erstellers, der auch seit 5 Tagen nicht mehr hier war...

Kann ich nur full ACK dazu sagen:

Erfahrungen mit dem Wiregate per heute:

- perfekte Hotline
- immer erreichbar, auch zu unmenschlichen Uhrzeiten dank Handynummer
- Bei den Jungs gilt das Motto "geht net gibts net"
- Sonderlösungen werden schnell umgesetzt auch wenn's zeitlich total brennt

weiter so