Dann lieber am Server. Da "darf" ich das

Naja, aber so schwer wird's ja net sein, einen Openvpn-Server aufzusetzen, der mit Android kann.

Da bin ich leider nicht so bewandert. Warum ist PSK weniger sicher als ein Zertifikat?

Ja, da war ich auch vom Hocker. Ich dachte eigentlich, dass sowas auf Android alles kein Problem sei...


Gruß,
Hendrik

Nochmal:

OpenVPN geht auf dem Android nicht ohne root.
Dort geht nur: PPTP oder eben eine der IPSec Spielarten (die ich mir jetzt nicht getraue, sicherheitstechnisch überhaupt zu vergleichen, aber das ist Berufsparanoia).
Du mußt nun auf Deinem Server also entweder PPTP oder IPSec/L2TP realisieren. OpenVPN geht halt nicht.

Hallo,

sorry, ich dachte, OpenVPN kann IPSec/L2TP.
Ich hab's kurz probiert mit IPSec/L2TP. Hat aber nicht geklappt, da bin ich wohl zu blöd für.
Außerdem ist es wohl nicht gut, dass mein VPN-Server hinter dem Router liegt. Dann ist es vielleicht doch besser, die FritzBox als Server zu nutzen.

Gruß,
Hendrik

Nein, OpenVPN mach im Grunde SSL, das ist also ne Schicht über IP (und damit IPSec).

Danke, das wusst ich nicht. Mir fehlts an Grundlagen :-(

[ ] Den Thread vorher aufmerksam lesen
[ ] Vor dem Fragen Tante Google bemühen, da steht das hinreichend

Zurück zum Thema (L2TP/IPSec -> für Querleser nochmal: PPTP ist, s.o. erheblich einfacher und geht problemlos!)

Grundsätzlich gehts (natürlich ) aber im Detail spuckts noch etwas bzw. ists noch sehr schwer vermittelbar. Also nicht nur ein bisschen blutig, sondern schlimmer..
Ergo: Natürlich mit Zertifikaten (IPSec mit PSK ist nur was für echte Mädchen weil dann kann man auch PPTP nehmen)

Update folgt..

Makki

Ich sehe bei der anbindung von 1 oder 2 Devices noch keinen Vorteil von Zertifikaten. Man muss nicht alles immer in der Männerversion bauen.
WPA nutzt Du auf Deiner Fritzbox ja auch vermutlich mit PSK, obwohls auch mit EAP/TLS gänge.

Hallo,


Ich möchte behaupten, dass o.g. Frage darin nicht behandelt ist.
Tja, was PSK ist ist da zu finden, was Zertifikate sind ist da zu finden, aber eine Gegenüberstellung habe ich nicht gefunden.
Sei's drum. Ist nicht so schlimm.

Gruß,
Hendrik

Die Vorteile liegen zum einen darin, viele Geräte einfach anzubinden, zum anderen ist es etwas mehr an Sicherheit.
Bei Zertifikaten bekommt jeder Benutzer ein Zertifikat, welches aus einem public Anteil und einem private Anteil besteht. Zusätzlich bekommt er noch das öffentliche Root-CA Zertifikat. Root-CA ist die Stelle, die die Zertifikate ausstellt. Damit kann er nun prüfen, ob Zertifikate anderer Kommunikationspartner von der gleichen CA ausgestellt wurden.
Das schöne dabei ist, das man relativ schnell jedem Benutzer ein Zertifikat geben kann. Man kann dieses auch Sperren oder auch Widerrufen. Weiterhin haben Zertifikate eine begrenzte Gültigkeitsdauer. Sie können allerdings auch automatisch über den sicheren Kanal verlängert werden (CMP Protokoll). Wie Du siehst ist das alles dafür gut, um sehr sehr viele Clients, anzubinden. Schön ist auch, das so ein Client quasi nie wieder in der Zentrale vorbeikommen muß. Das läßt sich alles so machen.
Bei PSK haben die Kommunikationsteilnehmer einen gemeinsamen Schlüssel. Die PSK ist nicht direkt der Schlüssel, dieser wird aber mit Hilfe der PSK abgeleitet. Wer also diese PSK hat, kann kommunizieren. Man kann niemanden einzeln aussperren, die PSK zu ändern ist schwierig usw.

Ich hoffe, Du hast einen groben Überblick
Das Schöne an Kryptografie ist, das es sehr spannend sein kann, wenn man sich da mal einliest. Das schlechte ist, das man durch Fehlkonfiguration bzw. weglassen verschiedener Sicherheitsmerkmale auch ruck zuck "Scheinsicherheit" erzeugt. Selbstsignierte Zertifikate sind zum Beispiel so ein Schritt.

Vielen Dank!

Ich hatte mich gefragt, ob es hier um ein Public-Key Verfahren handelt. So macht es Sinn/ich verstehe.

Gruß,
Hendrik

Hallo,

ich hab jetzt root-Zugriff auf meinem Telefon.
Das hat ca 10 min gedauert und ist scheinbar reversibel.

Dann tun.ko installer und VPNC widget installiert.

Fritz Box mit Tool konfiguriert (10 min)
Passwort abgetippt (10 min bis richtig)

Läuft!

Allerdings: Mit dem IPhone geht's ohne Jailbreak und eigenem Kernelmodul :-)

Gruß,
Hendrik

Hallo zusammen,

habe auch mal ein wenig mit den VPN-Möglichkeiten des Wiregates gespielt und folgendes "Problem" gehabt:

- VPN-Verbindung von PC zum Wiregate aufgabaut (open-vpn, Firefox), alle internen Geräte meines Heimnetzes waren erreichbar. Wenn ich aber eine Internetseite (bei weiterhin aktivem VPN nachhause) aufmachen wollte ging es nicht.

Gegenversuch:
- VPN-Verbindung vom Handy aufgebaut (Android, gerootet, Firefox mobile), dann konnte ich auch mit aktivem VPN Internetseiten öffnen.
Problem war, dass der PC per VPN keine DNS-Einträge bekommen hatte.

Lösung, falls noch jemand dieses Problem haben sollte (siehe auch screenshot):
push "dhcp-option DNS 192.168.1.1"

Micha

Openvpn for Android (von Arne Schwabe)

Hallo,

habe im die oben stehende App gefunden.
In der Beschreibung steht, daß das ohne "rooten" des Handys gehen soll.
Habe die App installiert und frage mich, welche Einstellungen ich da vornehmen muß.
"LZO Komprimierung" habe ich mal aktiviert.
Bei Typ habe ich Nutzer/PW+Zertifikate genommen, anschließend habe ich dann das CA-Zertifikat, das Clientzertifikat und den Clientzertifikatsschlüssel ausgewählt. Jetzt stellt sich mir die Frage, was mit Passphrase gemeint ist.
Ist das der Inhalt der "Benutzer".key-Datei?
Da wäre ich ja dann einwenig länger dabei das am Handy einzutragen.

Kann mir jemand sagen, ob das der richtige Weg ist, oder kann das mit diesem App trotzdem nicht funktionieren?

Danke schonmal im Voraus,
olip_3

Eigentlich ist es ganz einfach. Ich habe zuerst auch etwas an den Einstellungen probiert, bis es geklappt hat. Die einfachste Möglichkeit ist aber:

1. "OpenVPN für Android" öffnen
2. VPN Liste
3. oben rechts auf das Ordner-Symbol klicken
4. den Ordner suchen, in dem alles Dateien für den VPN-Zugang abgelegt sind
5. und die Konfigurationsdatei öffnen.

Es wird einen passender Eintrag erstellt.
Den Namen kannst du dann noch individuell anpassen, wenn du bei "Importiertes Profil" rechts auf diese Schieberegler (Einstellungen) klickst und dann "Basic" auswählst.


Ich hoffe, dass dies verständlich war.


Grüße,
Linuxer



P.S. Mal so eine ganz andere Frage:

Klickt man auch deinem Touchdisplay oder toucht man?

In der Tat braucht man bei ICS / 4.0 nicht mehr rooten. Mein Xperia Pro wird gerade geupdatet...