Gerät für VPN Server gesucht

[Kaktus6763]

Hi,
ich bin derzeit auf der Suche nach einem sicheren und einfachen Weg von außen auf mein Heimnetzwerk zu zugreifen.
Aktuell überlege ich zwischen drei Möglichkeiten, bin mir aber nicht sicher welche.
1. Netgear Nighthawk XR700, den VPN Server direkt auf meinem Router laufen zu lassen
2. Synology DS 120j oder DS 220j, ich würde mir eine von den beiden DS nur für den VPN Server kaufen.
Synology ist ja allgemein normalerweise eher benutzerfreundlich und sicher. Hab aber gesehen, dass die die VPN Station zuletzt vor knapp 3 Jahren aktualisiert haben.
Oder 3. Ich kaufe mir noch nen Pi und lasse es über den laufen.
Falls ihr noch andere Vorschläge habt lasst es mich gerne wissen
Ps: Dyn Dns und Portweiterleitung funktionieren bereits.

 

[mercury]

1. Da am kostengünstigsten?!

 

[Cool Master]

Was fürn Budget?

Schau mal hier vorbei:

https://www.computerbase.de/preisvergleich/?cat=nwfw

 

[blackshuck]

Hast du den Router schon? Dann den erstmal probieren

 

[Kaktus6763]

Ja Router hab ich schon, mir ging es aber eher um den Sicherheitsaspekt, da ich nicht wirklich denke, dass der Router VPN konstant geupdated wird bzw über diesen Router auch andere Dinge wie DHCP und DNS laufen und ich das normal eher getrennt hätte

Ergänzung (20. September 2020)

Budget ist jetzt nicht das große Problem sollte aber wenn es geht um die 200-300€ bleibt

 

[wayne_757]

Vorteil des PI wäre, dass im Falle einer gravierenden Sicherheitslücke du am schnellsten (ggf. Überhaupt) ein Update erhälst.

 

[Cool Master]

Na ja viel ist da nicht mehr dabei:

https://geizhals.de/?cat=nwfw&asuch...plz=&dist=&mail=&bl1_id=30&sort=p#productlist

Kannst dir ja mal anschauen ob dir die Geräte zusagen und ggf. Reviews dazu lesen.

 

[DoNG]

Wenn du schon einen Pi hast, dann kannst es ja dort drauf installieren. Wenn die Leistung nicht reicht, kannst du immer noch etwas anderes kaufen. Ich hab's bei mir auf ein Pi2 laufen, außer OpenVPN läuft noch pihole auf dem und es wäre mir nichts negatives aufgefallen. Habe aber auch nur 200/20 MBit/s down/Up als Internetbandbreite.

 

[Olunixus]

Ich kann den Pi mit OpenVPN sehr empfehlen - da dann noch PiHole drauf und fertig :-)

 

[snaxilian]

Raspi aber anstatt dem recht lahmen OpenVPN würde ich direkt Wireguard verwenden

 

[Kaktus6763]

K danke für alle antworten, gibt es eigentlich bei der Lösung mit dem Router und der Lösung mit dem Pi eine Möglichkeit nur bestimmte ip Pools zugreifen zu lassen und alles andere zu blockieren um die Sicherheit zu erhöhen?

 

[Cool Master]

Klar, iptables.

 

[snaxilian]

@Cool Master Fast Raspbian/Raspberry Pi OS basiert auf Debian Buster und selbst im stabilen nicht bleeding edge Debian ist iptables deprecated und durch nftables ersetzt.

@Willibaldgamer Naja wirklich steigerst du die Sicherheit dadurch nicht... Klar ein potentieller Angreifer müsste sich in dem erlaubten Pool der Adressen bewegen aber wenn er das nicht ist was macht er wohl: Ach ja sich einen VPN-Server in dem Pool aufsetzen. Auch sind ja nicht per se alle in dem erlaubten Pool gut und was machst wenn du als Zugreifender dich außerhalb des Pools bewegst, z.B. im Urlaub aber vergessen hast ggf. dortige Adressen frei zu geben. Du müsstest also auch immer regelmäßig prüfen ob sich bei der IANA Zuweisungen der Adressen geändert haben.
Besser wäre hier mMn konsequente Verwendung von starker Kryptographie und entsprechend sicherer und langer Schlüssel und Lösungen wie rate-limiting per fail2ban oder ähnliches. Da werden Zugriffsversuche protokolliert und bei x falschen Zugriffen von IP Y dann wird diese IP zeitlich begrenzt blockiert.

 

[Kaktus6763]

@Cool Master Fast Raspbian/Raspberry Pi OS basiert auf Debian Buster und selbst im stabilen nicht bleeding edge Debian ist iptables deprecated und durch nftables ersetzt.

@Willibaldgamer Naja wirklich steigerst du die Sicherheit dadurch nicht... Klar ein potentieller Angreifer müsste sich in dem erlaubten Pool der Adressen bewegen aber wenn er das nicht ist was macht er wohl: Ach ja sich einen VPN-Server in dem Pool aufsetzen. Auch sind ja nicht per se alle in dem erlaubten Pool gut und was machst wenn du als Zugreifender dich außerhalb des Pools bewegst, z.B. im Urlaub aber vergessen hast ggf. dortige Adressen frei zu geben. Du müsstest also auch immer regelmäßig prüfen ob sich bei der IANA Zuweisungen der Adressen geändert haben.
Besser wäre hier mMn konsequente Verwendung von starker Kryptographie und entsprechend sicherer und langer Schlüssel und Lösungen wie rate-limiting per fail2ban oder ähnliches. Da werden Zugriffsversuche protokolliert und bei x falschen Zugriffen von IP Y dann wird diese IP zeitlich begrenzt blockiert.

Jup danke Fail2Ban hatte ich auch noch vor

 

[Cool Master]

Raspbian/Raspberry Pi OS basiert auf Debian Buster und selbst im stabilen nicht bleeding edge Debian ist iptables deprecated und durch nftables ersetzt.

Ah ok wusste ich gar nicht, dass das deprecated ist

 

[till69]

Raspi aber anstatt dem recht lahmen OpenVPN würde ich direkt Wireguard verwenden

Wer zuverlässig ins Heimnetz will, kommt um OpenVPN über TCP (443/993/995) nicht herum, da UDP (also auch Wireguard) in vielen öffentlichen Netzen (so z.B. per default im Fritzbox Gastnetz) blockiert ist.
Fail2Ban ist nicht wirklich nötig, wenn bei OVPN "tls-crypt" verwendet wird.

 

[Cool Master]

Fail2Ban ist nicht wirklich nötig,

Das frisst keine Ressourcen. Kann daher und sollte trotzdem mitlaufen.

 

[snaxilian]

Ausgehende Blockade von UDP im Gastnetz der Fritzbox gilt afaik nur wenn der Haken gesetzt ist bei "alle Anwendungen außer surfen und mailen" aber ich bin der Meinung, dass dies nicht die Standardeinstellung ist. Aber ja in so stark limitierten Netzen muss man dann auf Alternativen zurück greifen.

Selbst mit starker crypto, passphrasen etc empfiehlt sich ein rate-limiting einfach um brute-force oder ein DoS vorzubeugen.