OpenVPN oder Fritzbox VPN

[jOeY-]

Hallo,

ich wollte schon seit längerm einen OpenVPN Server auf einem Linksys WRT54GL einrichten, hat beim erstenmal nur nicht funktioniert und seither hatte ich keine Zeit mehr. Der Router sollte zusätzlich hinter einem bestehenden NAT Router betrieben werden (so wie hier beschrieben: http://www.administrator.de/index.ph...nt=123285#toc8 )
Nun hab ich eine Fritzbox 7390 gekauft, da wir endlich DSL über Glasfaser bekommen (bisher nur über WLAN ). Ich hab jetzt festgestellt, dass man auch über die Fritzbox VPN aufbaun kann.
Jetzt steh ich vor der entscheidung, OpenVPN auf Linksys WRT54GL hinter NAT Router oder Fritzbox VPN oder OpenVPN auf der Fritzbox.
Bringt irgend eine Möglichkeit einen entscheidenden Vorteil, ist sicherer oder sind alle ungefähr gleichwertig?

Vielen Dank schonmal.
Gruß,
jOeY

[MaxMuster]

Letztlich wirst du die Frage selbst für dich beantworten müssen, aber ein paar Dinge dazu:

Die VPN-Grundlagen sind zwischen OpenVPN und IPSec (dem "AVM-VPN") erstmal komplett verschieden. OpenVPN setzt auf ein "Progamm" (also "im Userspace"), das mit SSH verschlüsselt eine zusätzliche "virtuelle Netzwerkkarte" simuliert, während IPSec ein IP-Protokolls ist und deshalb normalerweise Teil des IP-Stacks.
Im Grunde "kann dir das egale sein", es werden dadurch aber Anforderungen an die "Gegenstelle" gestellt. Für eine IPSec-Verbindung muss deshalb normalerweise die Unterstützung grundsätzlich vorhanden sein (z.B. im Linux-Kernel), für OpenVPN "reicht" ein virtuelles Interface als Grundlage.

Wenn die "Gegenstelle", die du nicht erwähnt hast, für beides geeignet ist, kann dir das natürlich eigentlich egal sein genauere "Anforderungen", was du damit machen willst, fehlen auch (manche Konstellationen sind mit IPSec sehr umständlich bis "fast garnicht" zu realiseren).
Normalerweise sagt man OpenVPN nach, es sei leichter zu konfigurieren als IPSec, aber das ist natürlich immer Geschmackssache und auch von den Vorkenntnissen abhängig. Wenn du allerdings das AVM-Tool nutzt, um die Konfigurationen für das IPSec bauen zu lassen, kommst du mit der Komplexität von IPSec nicht in Berührung...

Die Sicherheit ist aus meiner Sicht nicht unterscheidbar, beide VPNs sind nach heutigem Maßstab als "sicher" anzusehen.

Im Fazit: Das eine Produkt ist schon direkt von AVM auf der Box, das andere müsstest du noch "hinzufügen", deshalb würde ich wohl das AVM-VPN erstmal ausprobieren. Falls du aber deine Box sowieso mit Freetz "aufpeppen" willst, solltest du OpenVPN mit einbauen, dann hast du die Wahl und dann würde ich persönlich OpenVPN nutzen...


Jörg

[andilao]

Aus meinen Erfahrungen spricht für OpenVPN die weite Verbreitung und ganz besonders die Möglichkeit der zertfikatsbasierten Authentifikation, dagegen die wohl nicht so große Performance, wenn die MIPS-CPU das in Software erledigen muss. Und auch wenn es die CPU mit wenig Overhead bringen könnte, hätte dies doch ganz bestimmt bremsenden Einfluss auf das Gesamtverhalten.

Der ganz klare Vorteil der 7390 ist die on-chip cryptographic engine des IKANOS-Chips für IPSec-VPNs, mit dem ich einen sehr kleinen Overhead von nur rund 4 % gegenüber der unverschlüsselten FTP-Übertragung bei 10 MBit/s Upload bestätigen konnte. Dazu machen das AVM-Tool und die vielen funktionierenden Beispiele für andere Clienten bzw. Router es dem Anfänger viel leichter.

[MaxMuster]

leicht OT: Schön dass mal jemand sich die Mühe gemacht hat, die Nutzung der crypto-Engine zu Testen/Bestätigen.
Leider ist ja der Sourcecode mit den CPU-spezifischen Dingen nicht verfügbar, so dass man die laut IKANOS ebenfalls vorhandene SSL-Beschleunigung in Hardware für OpenVPN wohl nicht nutzen kann (sofern die AVM-SSL-Libs das nicht nutzen und dafür genutzt werden könnten)...

[Telefonmännchen]

Einen zusätzlichen Grund für OpenVPN kann ich auch noch liefern. Bei mir läuft der Zugang per OpenVPN über UMTS bei Providern mit nicht-öffentlicher IP für die User problemlos (z.B. Aldi-Talk im eplus-Netz). Auch mit meinem Notebook hinter fremden NAT-Routern komme ich ohne Portforwardings und ähnlichem aus. Der Verbindungsaufbau erfolgt als Roadwarrior natürlich immer nur vom Notebook zu meiner FritzBox aus.

Das ist beides bei Benutzung des AVM-VPN nicht gegeben. Wenn es aber um eine VPN-Verbindung zweier direkt per DSL mit öffentlicher IP verbundenen Geräte geht, dann ist bis auch o.a. Performance-Unterschiede wohl die eine Lösung so gut wie die anderen.

Gruß Telefonmännchen

[andilao]

der Zugang per OpenVPN über UMTS bei Providern mit nicht-öffentlicher IP für die User problemlos (z.B. Aldi-Talk im eplus-Netz). Auch mit meinem Notebook hinter fremden NAT-Routern komme ich ohne Portforwardings und ähnlichem aus.

Bei UMTS bzw. bei allen nicht-öffentlichen IPs ist der Shrewsoft-Client dringend empfohlen!

[minze]

Bei UMTS bzw. bei allen nicht-öffentlichen IPs ist der Shrewsoft-Client dringend empfohlen!

Warum ist der Shrewsoft-Client als IPSec-Lösung im Gegensatz zu der OpenVPN-Empfehlung von Telefonmännchen bei diesem Roadwarrior-Szenario mit nicht-öffentlichen IPs besser geeignet?

mfg

minze

[Telefonmännchen]

Nicht entgegen meiner Empfehlung, sondern als Hinweis, daß bei Verwendung des AVM-VPN Shrew einfach umfangreicher zu konfigurieren ist. Somit können gewisse Beschränkungen durch die Benutzung vom UMTS umgangen werden bzw. Probleme besser gelöst werden. Die erfolgversprechendere Variante im Spezialfall UMTS bzw. hinter einem anderen NAT-Router ist aber OpenVPN. Für die meisten anderen VPNs brauchst Du Portweiterleitungen auf Deine nicht-öffentliche IP. Bei OpenVPN eben nicht. Das gilt aber nur für das Roadwarrior-Szenario.

Gruß Telefonmännchen