Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
OpenVPN geht nun auch ohne Jailbreak. Ab Android 4.0
Das ist doch mal ne gute Nachricht
Das Problem mit PPTP liegt für mich "davor" in der Portweiterleitung, 1723/TCP, das ist echt broteinfach (und falls als ein Mobilfunker wirklich blocken sollte: einfach extern nen beliebigen anderen Port nehmen, läuft, aus die Maus)
OpenVPN geht nun auch ohne Jailbreak. Ab Android 4.0 ...
Na das ist ja mal ne saugute Nachricht :-)
Hab gerade ein wenig zum Thema gelesen, geht nur TUN, kein TAP. Wobei ich mich da nicht gut genug auskenn, um zu wissen, ob das ein Problem darstellt.
@makki: Was kann das Wiregate? Oder kann es Beides ohne Probleme?
PPTP, securitytechnisch nicht perfekt aber einfach, geht mit zwei handgriffen, also wo liegts Problem?
Ich hab bei PPTP auch immer "Sicherheitslücke" im Hinterkopfm, meine Infos dazu sind aber schon Jahre alt und stammen von der Windows-Implementierung. Hast Du ev. einen Link dazu, so dass man das Risiko besser einschätzen kann?
TUN sollte reichen, kann auch das WG.
Bei TAP erfolgt im Grunde eine Art Bridging, Du befindest Dich also im lokalen Netz. Sieht gut aus, muss aber nicht sein.
Derzeit zwischen Kistenauspacken und Garten anlegen.
Baublog im Profil.
TAP/TUN geht beides, Default ist TUN(Routing) weil eigentlich technisch richtiger.
Umstellung auf TAP(Bridge) siehe hier
Zu PPTP/Security: ich kenne die Meinung dazu durchaus, das ist einfach ein historisch "verbrannter" Begriff. Weil die ersten Versuche waren halt gleich sowas von dämlich das 15m Feldweg nicht reichen - ist aber nicht mehr so.
Und VPN's mit statischen Kennwörtern irgendwie per se Schrott aber sooo schlimm ists PPTP nun auch nicht - solange man es richtig macht (gute Kennwörter >=12 Stellen und keins davon verbummeln)
Es finden sich diverse Artikel im Netz dazu, manche mehr, manche weniger richtig - aber es wird auch einen Grund haben warum wir seit >10J IPSec machen und hier guten Gewissens eben lieber OpenVPN aufm WG empfehlen, weil das mit CA&Zertifikaten vorkonfiguriert ist.
-> ein schlecht eingerichtetes IPSec- oder OpenVPN auf einem Wald&Wiesen-Router kann nämlich durchaus auch erheblich unsicherer sein als ein richtig gemachtes PPTP-VPN.
hab jetzt mal alles soweit generiert, nur eins ist mir nicht ganz klar:
Was trag ich im Wiregate bei der Erstellung des Client-Zertifikats unter "VPN-Server IP-Adresse/DNS-Name (öffentlich)" ein? Den DynDNS Namen zu mir? Bzw. wenn ich die Verbindung einfach einmal innerhalb meines Netzwerks testen will, die IP-Adresse des Wiregate?
Naja, ich würd wissen, dass ich die Einstellungen alle richtig gemacht hab und müsste nicht überlegen, ob nicht ein Verbindungsproblem an der Firewall oder sonst was liegt. Sozusagen der einfachste Fall überhaupt ... auch wenns praktisch 0 Sinn macht. ;-)
Naja, das Problem ist, das VPN ist ein zusätzliches Netzwerkinterface mit routen (oder Bridge) - ins selbe Netz über die es auf den VPN-Server (hier WG) - zugreift, je nach OS und Einstellungen ists nun ein Glücksspiel ob a) das VPN geht und b) das irgendeinen Sinn ergibt was man da zu testen versucht..
Also, hab jetzt mal im Wiregate einen VPN-Client marcus angelegt.
In der App hab ich folgende Einstellungen:
CA Zertifikat: ca.crt
Clientzertifikat: marcus.crt
Clientzertifikatschlüssel: marcus.key
Server Port: 1194
Server: meine DynDNS URL
In der Firewall ist Port 1194 freigegeben und aufs Wiregate weitergeleitet.
Also auf die richtige IP-Adresse komm ich schon mal lt. Protokoll der App.
Nun geht allerdings der TLS-Handshake schief.
Was ich da noch einstellen könnte (in Klammer die Möglichkeiten, nach dem Doppelpunkt der aktuelle Wert):
Erwarte TLS Server (ja/nein): nein
Zertifikat Namen überprüfen (ja/nein): nein
Benutze TLS Authentifizierung (ja/nein): nein
TLS Auth Datei (Datei auswählen und importieren): keine
TLS Richtung: keine
Verschlüsselung: Encryption cipher
Ich kenne keine "APP", nur Software
Aber es wird vermutlich TLS/ta.key sein ("TLS Auth Datei" - damit nicht jedes Script-Kiddie auf dieser Erde das WG zum Spass DDoSen kann): da muss ta.key rein, vgl. herunterladbare config ausm Webif.
OK, also grundsätzlich funktioniert die Konfiguration jetzt so:
Hab im Wiregate einen VPN-Client "marcus" angelegt und die Konfiguration aufs Mobiltelefon geladen.
Danach die App (oder für Makki Software) "OpenVPN für Android" aus dem PlayStore geladen.
Dort dann folgende Konfiguration:
Unter Basic:
Server: meine DynDNS URL
Server Port: 1194
Typ: Zertifikate
CA Zertifikat: ca.crt
Clientzertifikat: marcus.crt
Clientzertifikatschlüssel: marcus.key
Unter Authentifizierung/Verschlüsselung:
Erwarte TLS Server: nein
Benutze TLS Authentifizierung: ja
TLS Auth Datei: ta.key
TLS Richtung: 1
Jetzt bleibt nur mehr mein Firewall-Problem zu lösen. Dzt. funktionierts nämlich nur, wenn ich das Wiregate als DMZ-Host eintrag, was ich nicht wirklich will.
EDIT - zur Vollständigkeit:
In der Firewall ein Port-Forwarding eingestellt, dass Traffic mit Zielport 1194 ans Wiregate weitergeleitet wird. Das Firewall-Problem hat sich somit erledigt.
Vielleicht hilfts ja jemand Anderem, dass es schneller funktioniert.
Jetzt bleibt nur mehr mein Firewall-Problem zu lösen.
Der OpenVPN-server nutzt definitiv nur 1194/UDP (in der standardconfig)
Ich würde da jetzt eher beim Client das suchen anfangen Diagnosemöglichkeiten sind da natürlich wenig/nichts aber daran mehr als 1194/UDP ans WG durchzuschalten kann es eigentlich nicht liegen..
Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.
Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.
Kommentar