[Frage] OpenVPN oder Fritzbox VPN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
J

jOeY-

Neuer User
Mitglied seit
4 Mrz 2011
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich wollte schon seit längerm einen OpenVPN Server auf einem Linksys WRT54GL einrichten, hat beim erstenmal nur nicht funktioniert und seither hatte ich keine Zeit mehr. Der Router sollte zusätzlich hinter einem bestehenden NAT Router betrieben werden (so wie hier beschrieben: http://www.administrator.de/index.php?content=123285#toc8 )
Nun hab ich eine Fritzbox 7390 gekauft, da wir endlich DSL über Glasfaser bekommen (bisher nur über WLAN :( ). Ich hab jetzt festgestellt, dass man auch über die Fritzbox VPN aufbaun kann.
Jetzt steh ich vor der entscheidung, OpenVPN auf Linksys WRT54GL hinter NAT Router oder Fritzbox VPN oder OpenVPN auf der Fritzbox.
Bringt irgend eine Möglichkeit einen entscheidenden Vorteil, ist sicherer oder sind alle ungefähr gleichwertig?

Vielen Dank schonmal.
Gruß,
jOeY
 
Letztlich wirst du die Frage selbst für dich beantworten müssen, aber ein paar Dinge dazu:

Die VPN-Grundlagen sind zwischen OpenVPN und IPSec (dem "AVM-VPN") erstmal komplett verschieden. OpenVPN setzt auf ein "Progamm" (also "im Userspace"), das mit SSH verschlüsselt eine zusätzliche "virtuelle Netzwerkkarte" simuliert, während IPSec ein IP-Protokolls ist und deshalb normalerweise Teil des IP-Stacks.
Im Grunde "kann dir das egale sein", es werden dadurch aber Anforderungen an die "Gegenstelle" gestellt. Für eine IPSec-Verbindung muss deshalb normalerweise die Unterstützung grundsätzlich vorhanden sein (z.B. im Linux-Kernel), für OpenVPN "reicht" ein virtuelles Interface als Grundlage.

Wenn die "Gegenstelle", die du nicht erwähnt hast, für beides geeignet ist, kann dir das natürlich eigentlich egal sein ;-) genauere "Anforderungen", was du damit machen willst, fehlen auch (manche Konstellationen sind mit IPSec sehr umständlich bis "fast garnicht" zu realiseren).
Normalerweise sagt man OpenVPN nach, es sei leichter zu konfigurieren als IPSec, aber das ist natürlich immer Geschmackssache und auch von den Vorkenntnissen abhängig. Wenn du allerdings das AVM-Tool nutzt, um die Konfigurationen für das IPSec bauen zu lassen, kommst du mit der Komplexität von IPSec nicht in Berührung...

Die Sicherheit ist aus meiner Sicht nicht unterscheidbar, beide VPNs sind nach heutigem Maßstab als "sicher" anzusehen.

Im Fazit: Das eine Produkt ist schon direkt von AVM auf der Box, das andere müsstest du noch "hinzufügen", deshalb würde ich wohl das AVM-VPN erstmal ausprobieren. Falls du aber deine Box sowieso mit Freetz "aufpeppen" willst, solltest du OpenVPN mit einbauen, dann hast du die Wahl und dann würde ich persönlich OpenVPN nutzen...


Jörg
 
Aus meinen Erfahrungen spricht für OpenVPN die weite Verbreitung und ganz besonders die Möglichkeit der zertfikatsbasierten Authentifikation, dagegen die wohl nicht so große Performance, wenn die MIPS-CPU das in Software erledigen muss. Und auch wenn es die CPU mit wenig Overhead bringen könnte, hätte dies doch ganz bestimmt bremsenden Einfluss auf das Gesamtverhalten.

Der ganz klare Vorteil der 7390 ist die on-chip cryptographic engine des IKANOS-Chips für IPSec-VPNs, mit dem ich einen sehr kleinen Overhead von nur rund 4 % gegenüber der unverschlüsselten FTP-Übertragung bei 10 MBit/s Upload bestätigen konnte. Dazu machen das AVM-Tool und die vielen funktionierenden Beispiele für andere Clienten bzw. Router es dem Anfänger viel leichter.
 
leicht OT: Schön dass mal jemand sich die Mühe gemacht hat, die Nutzung der crypto-Engine zu Testen/Bestätigen.
Leider ist ja der Sourcecode mit den CPU-spezifischen Dingen nicht verfügbar, so dass man die laut IKANOS ebenfalls vorhandene SSL-Beschleunigung in Hardware für OpenVPN wohl nicht nutzen kann (sofern die AVM-SSL-Libs das nicht nutzen und dafür genutzt werden könnten)...
 
Einen zusätzlichen Grund für OpenVPN kann ich auch noch liefern. Bei mir läuft der Zugang per OpenVPN über UMTS bei Providern mit nicht-öffentlicher IP für die User problemlos (z.B. Aldi-Talk im eplus-Netz). Auch mit meinem Notebook hinter fremden NAT-Routern komme ich ohne Portforwardings und ähnlichem aus. Der Verbindungsaufbau erfolgt als Roadwarrior natürlich immer nur vom Notebook zu meiner FritzBox aus.

Das ist beides bei Benutzung des AVM-VPN nicht gegeben. Wenn es aber um eine VPN-Verbindung zweier direkt per DSL mit öffentlicher IP verbundenen Geräte geht, dann ist bis auch o.a. Performance-Unterschiede wohl die eine Lösung so gut wie die anderen.

Gruß Telefonmännchen
 
Telefonmännchen schrieb:
der Zugang per OpenVPN über UMTS bei Providern mit nicht-öffentlicher IP für die User problemlos (z.B. Aldi-Talk im eplus-Netz). Auch mit meinem Notebook hinter fremden NAT-Routern komme ich ohne Portforwardings und ähnlichem aus.
Zum Vergrößern anklicken....
Bei UMTS bzw. bei allen nicht-öffentlichen IPs ist der Shrewsoft-Client dringend empfohlen!
 
IPSec vs OpenVPN und Fritzbox

andilao schrieb:
Bei UMTS bzw. bei allen nicht-öffentlichen IPs ist der Shrewsoft-Client dringend empfohlen!
Zum Vergrößern anklicken....

Warum ist der Shrewsoft-Client als IPSec-Lösung im Gegensatz zu der OpenVPN-Empfehlung von Telefonmännchen bei diesem Roadwarrior-Szenario mit nicht-öffentlichen IPs besser geeignet?

mfg

minze
 
Nicht entgegen meiner Empfehlung, sondern als Hinweis, daß bei Verwendung des AVM-VPN Shrew einfach umfangreicher zu konfigurieren ist. Somit können gewisse Beschränkungen durch die Benutzung vom UMTS umgangen werden bzw. Probleme besser gelöst werden. Die erfolgversprechendere Variante im Spezialfall UMTS bzw. hinter einem anderen NAT-Router ist aber OpenVPN. Für die meisten anderen VPNs brauchst Du Portweiterleitungen auf Deine nicht-öffentliche IP. Bei OpenVPN eben nicht. Das gilt aber nur für das Roadwarrior-Szenario.

Gruß Telefonmännchen
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 752 (Mitglieder: 25, Gäste: 727)

Neueste Beiträge

Statistik des Forums

Themen
244,880
Beiträge
2,220,038
Mitglieder
371,605
Neuestes Mitglied
michaelwarwel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück