VPN zwischen 2 FB 7170 - Sicherheit?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

Bad7

Neuer User
Mitglied seit
30 Jan 2008
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe mal ein paar Fragen zu dem Thema.
Ich möchte eigentlich ein VPN einrichten, am einfachsten mit 2 Fritzboxen. Darüber soll dann die Telefonie der 2 Standorte laufen.

Ich mache mir aber Sorgen um die Sicherheit.
Mit diesem tollen "ich erstelle ein VPN" Assistenen kann man absolut nix vorgeben, alles wird automatisch eingestellt. Wie sicher sind die vorgewählten Einstellungen? Verschlüsselungstiefe? Algorithmus?

Code: 
Configbeispiel:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "my.dyndns.org";
                always_renew = [B]no[/B];
                reject_not_encrypted = [B]no[/B];
                dont_filter_netbios = [B]yes[/B];
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "my.dyndns.org";
                localid {
                        fqdn = "your.dyndns.org";
                }
                remoteid {
                        fqdn = "my.dyndns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "bea9bb1aasdfaw<fc15>";
                cert_do_server_auth = no;
                use_nat_t = [B]no[/B];
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Kann oben durch ein einfaches YES die Verbindung ständig gehalten / neu aufgebaut weren? Sollte Man NAT Traversal aktivieren? Gibt es irgendwo eine Dokumentation welche Auswirkungen genau diese ganzen Schalter haben?

Aber zurückgehend zur Grundsatzfrage - ist das sicher genug? Oder sollte man sich die Arbeit machen und OpenVPN auf der Fritzbox zu implementieren?

Danke schonmal
Bad7
 
Zuletzt bearbeitet von einem Moderator:
Hallo,

Bad7 schrieb:
Ich möchte eigentlich ein VPN einrichten, am einfachsten mit 2 Fritzboxen. Darüber soll dann die Telefonie der 2 Standorte laufen.
Zum Vergrößern anklicken....
Das wird problematisch werden, jedenfalls wenn du über die Fritzbox telefonierst. Die wickeln ihre VoIP Aktivitäten immer über das Internetgateway ab.

Bad7 schrieb:
Gibt es irgendwo eine Dokumentation welche Auswirkungen genau diese ganzen Schalter haben?
Zum Vergrößern anklicken....
Ja, auf dem AVM VPN Serviceportal: http://www.avm.de/vpn
Und natürlich in den IPSec RFCs: http://tools.ietf.org/html/rfc2401

Bad7 schrieb:
Aber zurückgehend zur Grundsatzfrage - ist das sicher genug? Oder sollte man sich die Arbeit machen und OpenVPN auf der Fritzbox zu implementieren?
Zum Vergrößern anklicken....
Nach menschlichem Ermessen gelten beide Verfahren momentan als sicher. Wie lange das noch gilt, kann man natürlich nie sagen.
IPSec ist nur erheblich komplexer und schwieriger einzurichten als OpenVPN, vor allem bei IPv4 (es ist ja eigentlich ein IPv6 Standard).
 
Du sagst, die wickeln ihre VoIP Aktivitäten immer über das Internetgateway ab. Wenn der Tunnel das einzige Gateway ist (Vorausgesetzt es ist eingestellt, dass nicht verschlüsselter Verkehr gedroppt wird) sollte das doch möglich sein.:confused:
Was vergesse ich dabei?

Meine gedachte Konstellation sieht so aus:

Standort A - ISDN TK Anlage -> angeschaltet an Fritzbox über S0 -> Verbindung der Fritzbox über LAN1 an einen vorhandenen QSC DSL Router -> INTERNET <-(Standort B) Fritzbox als DSL Modem, Router, Firewall und VoIP TK Anlage in einem mit Endgeräten.

Könnte man von B aus 2 Tunnel einrichten? Tunnel 1 für Voice, Endpunkt ist die Fritzbox am Standort A; und Tunnel 2 für Data, Endpunkt ein Netgear xxx. ?


Die Dokumentation auf der AVM Website habe ich jetzt gefunden, schön untergliedert in 20 einzelne Seiten statt eines manuels. Egal, hauptsache vorhanden.

Ich werde die Verschlüsselung erstmal mit den Bordmitteln so hoch wie möglich stellen und schauen, wie sich die Box damit anstellt. Wenn die Prozessorlast ständig bei 100% ist, werde ich wohl Abstriche bei der Verschlüsselungstiefe machen müssen.


Das ist jetzt alles schon ziemlich theoretisch, vielleicht steigt ja trotzdem noch jemand mit ein.

Gruß
Bad7
 
Hallo,

Bad7 schrieb:
Was vergesse ich dabei?
Zum Vergrößern anklicken....
Dass die VPN Verbindung auch ein funktionierendes Default-Gateway braucht.

Bad7 schrieb:
Standort A - ISDN TK Anlage -> angeschaltet an Fritzbox über S0 -> Verbindung der Fritzbox über LAN1 an einen vorhandenen QSC DSL Router -> INTERNET <-(Standort B) Fritzbox als DSL Modem, Router, Firewall und VoIP TK Anlage in einem mit Endgeräten.
Zum Vergrößern anklicken....
In dem ganzen Konstrukt gibts keinen SIP Server. Wie willst du denn VoIP machen? Nur über die SIP URIs? Dafür brauchst du immer noch einen registrierten VoIP Account in der Box. Un den hast du im beschriebenen Setup nur im Internet.

Bad7 schrieb:
Könnte man von B aus 2 Tunnel einrichten? Tunnel 1 für Voice, Endpunkt ist die Fritzbox am Standort A; und Tunnel 2 für Data, Endpunkt ein Netgear xxx. ?
Zum Vergrößern anklicken....
Zwei Tunnel kann man einrichten, aber man kann den Datenverkehr nicht nach Diensten trennen, sondern nur nach IP-Subnetzen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 836 (Mitglieder: 23, Gäste: 813)

Neueste Beiträge

Statistik des Forums

Themen
246,494
Beiträge
2,253,049
Mitglieder
374,285
Neuestes Mitglied
mara_bfi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück