Wieso nimmst Du nicht den OpenVPN-Client? Der rennt bei mir einwandfrei und der Server ist auf dem WG schon fertig.

gruss,

der Jan

Gibt es dazu eine Schritt für Schritt Anleitung? Brauch ich dazu noch irgendwo extern ein Server oder ähnliches? VPN ist bei mir ein weisses Tuch.

Eigentlich:

1) auf dem Wiregate einen Benutzer anlegen und die Konfiguration herunterladen
2) auf dem IPhone den OpenVPN Client aus dem AppStore installieren
3) das ZIP vom Wiregate entpacken
4) mit ITunes die Dateien in den OpenVPN Client schieben

Fertig. Der Server ist auf dem WG fertig konfiguriert.

Nur meine 5ct aus dem off:
Jan hat völlig recht: tue dir einen gefallen und nimm OpenVPN!
Das ist erheblich besser und sicherer als PPTP und erheblich einfacher als IPSec!
Weil vorkonfiguriert.

Nur fürs Protokoll: es geht schon auch mit openswan/strongswan mit IPSec (darauf basiert übrigens die BSI-zertifizierte Lösung für Verschlussachen bei Behörden etc ) - sogar auf dem "alten" WireGate und mit Zertifikaten bzw. sogar Smartcards - aber das ist echt nur was für Leute die tief drin sind, viel freie Zeit haben und bei IKE, X-Auth, Phase-1, Phase-2 etc. keine drei ??? sehen.
Das liegt garnicht nur an IPSec sondern auch daran, das die Client-seitigen Implementierungen von MS und Apple - naja sagen wir mal so - etwas speziell/"individuell" sind.
Edit Und übrigens nicht BSI-zugelassen, weil sie beide den unsicheren Agressive-Mode verwenden..
Aber das interessiert ausserhalb VSA eh keinen, da ist ein Fritzi-VPN auch sicher Da ist das WG OpenVPNmit Zertifikat mind. 5-10x besser als IPSec mit Agressive-Mode & PSK..


(ich habs seit Jahren produktiv am laufen, u.a. Stand WG 2009, aber die nackigen configs bringen keinem was, wens interessiert evtl. sep. in einem anderen Thread/Forum - IPSec ist Blutsuppe im allgemeinen und im speziellen unter Debian mit MS/Apple-clients..)
Für grössere Umgebungen kann man das mit IPSec machen, im SoHo ist das IMHO overkill und nicht zielführend.

Makki

ok, ich sehe ein OpenVPN macht am meisten Sinn und ist ja in iOS10 dann auch gut ins allgemein Menü integriert. Habe heute bei mir versucht, dass aufm iPhone einzurichten, hat aber nicht auf Anhieb geklappt.

Problem ist, dass das iPhone ja ne TUN Verbindung braucht, ich aber die Wiregate als TAP (gebridgtes Netzwerk) konfiguriert habe...die Netzwerk-Konfig sieht bei mir ja so aus:




Damit funktioniert aber die TUN Verbindung vom Wiregate nicht. Muss ich noch ne statische Route im Router setzen oder fehlt was anderes? Wo steht'n nochmal das Subnetz, in dem das iphone dann landet?

OpenVPN:
Sorry, Bridge (TAP) ist technisch seitens WG1 möglich ("Kann man so machen, ist dann aber halt kacke", das habe ich auch immer dazugesagt!! und davon abgeraten - aber was der Kunde unbedingt will bekommt bekam er halt, wenns technisch irgendwie geht - das Wiregate hat da kein Problem damit)
Wenn nun Apple das "überraschenderweise" ein paar Jahre später genauso sieht? (es würde z.B. alleine den Akku killen zwecks ständigen ge-bridgetem Multicasts/Broadcasts etc..das ist durchaus nachvollziehbar, warum die das nicht wollen..)
Hmm was sollte ich damals wie heute machen? Nochmal: man kanns machen, aber es war 2008 k*** und das bleibt es auch 2016.

Bis auf die Tatsache, das man im (gerouteten) tun(nel) Modus eben alles sorgfältig&sauber einrichten muss gibt es nur Vorteile.
Um das nochmal zu erklären: im tap/bridge-Modus wird der VPN-Client wie ein "lokales" Gerät L2 ins LAN gebridged, das ist zwar brutal bequem - aber über WAN-Verbindungen nicht unbedingt optimal, weil eben jedes Packerl ausm LAN ungesehen gebridged wird, auch über eine schmalbandige Verbindung und unabhägig davon ob es für diesen Client relevant ist..

P.S.: Final ist es in diesem Thread/Kontext völlig Off-Topic, weil L2-Bridge mit IPSec so eh nicht geht..

P.P.S. auf die Gefahr hin schon wieder arrogant zu klingen: das "Standard OpenVPN" im WG1 von 2008 ist im Jahre 2016 immernoch 100% sicher (ein relevantes Update gabs zu openssl weil die bei Debian das nicht ganz so optimal gmacht haben binnen 24h, zur Sicherheit auf Verdacht -> war aber im Rückblick nix relevantes..).
Warum? Weils von Anfang an richtig gemacht ist! mit CA, X.509-Zertifikaten, 2048bit RSA-Keys (das war 2008 für die meisten noch "absurde paranoia..")
Man lese mal im heise-Ticker zu IoT-Appliances - ja da denken die jetzt 8J später mal drüber nach, ob das sicher ist - da muss ich ehrlichgesagt schmunzeln..
Und warum die als Botnetz genutzt werden..

Um wieder zum Thema (IPSec) zurückzukommen: Wenn man das "in richtig" haben will (also sowas das 8++J auch hält) muss man jemanden fragen der sich damit auskennt. Sorry, das geht nicht anders, man muss das gesamtsystem im Blick haben (was bei einer Appliance wie WG als Hersteller geht)

Mit Verlaub, selbst mit guter Anleitung: Wenn man das selber "zusammenbaut" landet man sicher weit unter dem Sicherheitslevel des WG1 mit OpenVPN, X.509-Zertifikaten etc.
Ich hab übrigens kein schlechtes Gewissen, denn mit den Anleitungen zu "tap" - dazugesagt das ich es nicht empfehle - hat die Security nicht gelitten!
Das ist (c)2008-2016 immernoch 100x besser als ein schlecht konfiguriertes Fritzi-IPSec-VPN mit PSK o.ä.

Finally @spookyt: schick mir ein mail, dann schick ich dir - ohne Support - die Default-Settings für tap..

Makki

Schade, dass hier keine Threads wegen IT-Pfusch geschlossen werden...
Die Loesung, die 8 Jahre in der IT haelt (weil das ja wie bei Hundejahren ist) moechte ich gern mal sehen - abgesehen von telnet jetzt vllt mal.
Allein openssl hat in den letzten 12 Monaten massiv kritische Bugs rausgehauen, fast soviel wie sendmail in den letzten 12 Jahren. Aber ja, auf Sand bauen kann auch eine schoene Touristenattraktion ergeben, fraglos

Hi,
wie alt sind den OpenVPN/OpenSSL auf dem Wiregate? Ich hätte gedacht das die nicht 8 Jahre alt sind.
VG
Jürgen

Vorab: ich schreibe als Anwender, nicht als Ex-Anbieter:

Bevor ich jetzt in die Waffenkammer gehe: wie meinst du das?
a) Das es nicht geht? Oh doch!! (Gegenbeweis ist hier erbracht wenn ein Hersteller eben vorher (also 2008) schon das Gehirn und nicht nur Marketing und Rechtsabteilung einschaltet, Update-Mechanismen von Haus-aus vorsieht, nicht erst wenn das Kind im Brunnen am ertrinken ist)
GA/HA ist kein Spielzeug, das man alle 2J austauscht wie ein iPhone! Das *muss* 10,15,20J+ halten.
Das war 2008 als Hersteller meine Einstellung und das hat sich bis 2016 als Anwender auch nicht geändert.
IT-Pfusch ist für mich IPSec mit PSK im Agressive-Mode, sorry ich mach das Hauptberuflich.. Aktuell im behördlichen Umfeld VS-NfD/VS-V.

b) als kompliment, dann haste es aber komisch formuliert.

Falls a) nenne mir nur eine relevante offene relevante Sicherheitslücke zu OpenVPN, (Stand 2008) die zutriftt?
Bitte, Danke, Du wirst keine finden, schämen, setzen, 6.

Als *Anwender* benutze ich es bis heute - übrigens unverändert! und guten Gewissens - weils einfach fundiert gut ist! Da haben ne Menge Leute (mir inkl.) ne Menge Hirnschmalz & Erfahrung reingesteckt, das es eben gut ist - und ja, durchaus 8J hält!!
Das wird auch nochmal 5-10J halten (irgendwann läuft die 4096bit CA aus, dann muss man halt die renewen,
Keines der Updates wäre im Rückblick (Security-technisch) notwendig gewesen - sie wurden trotzdem präventiv gemacht. In Stundenfrist, teilw. früher als die Linux-Distribution.
Das wirft natürlich ein vermeintlich schlechtes Licht aufs Produkt, das überhaupt Sicherheitsupdates notwendig sind, entspricht aber der Wahrheit! Natürlich ist das notwendig!
Wer das nicht glaubt, schaut sich jetzt mal bitte kurz den Kernel, OpenSSL etc auf seiner DSL-Box an. die sind in 90% der Fälle jenseits von gut&böse!
Nur da gibts kein Update - ist es deswegen sicher? Unwahrscheinlich..

Es hat das WG1 (OpenVPN) da nie wirklich getroffen aber es war, ist und bleibt richtig: das könnte passieren und dann braucht man einen Plan um das zu aktualisieren. Den gibts da ja nun. Das ist der Punkt.

Schau nach, der letzte lustige Backport von openssl war echt fiese Blutsuppe (im Rückblick übrigens unnötig, nur fürs gewissen & Marketing..)

-> Jung genug um sicher zu sein.

Schau mal auf deine DSL-Box, Smartphone, ... wie alt der Kernel/OpenSSL da ist und welche Sicherheitslücken seither bestehen..
Dann gehste konsequenterweise sofort offline

Jetzt hole ich etwas aus: (man suche bitte nach IoT auf heise.de .. gelesen?): das war ist und bleibt ein Problem!
Der wesentliche Punkt ist: eine Update-Strategie zu haben!

Ich hätte auch 2008 gerne schon IPSec, Main-Mode, Smartcard mit Klasse3(Pinpad)-Leser gemacht - das kann man nur leider keinem Anwender vermitteln und die Unterstützung in den OS war&ist auch ned da.
Man wird ja schon verprügelt, wenn man BSI-konform eine sechsstellige PIN für CA/secadmin-Karten am Klasse3-Leser fordert..

Das geht mitm Cisco, BSD, Linux (openswan/strongswan), ist aber für normale Menschen - nachvollziehbar - Pain in the ass.
Also war die "natürliche" Lösung OpenVPN, ging damals in Android auch nur mit "rooten" und in IOS auch nur leidig.
PPTP habe ich zwar beschreiben (das geht so einfach wie es unsicher ist) - kann man so machen, ist aber dann halt kacke!)
Keine Option.

Also OpenVPN, ich hätte ehrlichgesagt damals nicht gedacht das es (ohne Patches) hält. Hat es aber!
2016 ist man schlauer..

Fazit: Ich würde es 2016 wieder (fast) ganz genauso machen! HW-RNG im WG1 - erst beim Kunden! 2048 bit RSA-Keys (heute ECC oder 4096bits-RSA was die CA hat).

Wenn 2008 alle diese Hausaufgaben gemacht hätten, gäbe es keine DDoS -Probleme

Makki

Nicht auf das Wiregate bezogen, aber TAP kann sehr wohl Vorteile bieten. Dann nämlich, wenn ich zwei Router unter Verwendung von IPv6 und OSPF verbinden möchte. TUN hat bis einschließlich Version 2.4 nämlich die Eigenheit, dass es link local Adressen für IPv6 nicht richtig behandelt. Dadurch geht kein OSPF v3. https://community.openvpn.net/openvpn/ticket/415

Über TAP kann man wunderbar Transfernetze aufbauen. Man muss nur darauf achten, jedem weiteren Router ein separates Interface zu spendieren.

Werner