L2TP oder Open VPN?

[Don-DCH]

Guten Abend,

ich bin gerade dabei mich damit zu beschäftigen, wie ich am besten von meinen Endgeräten (iPhone, Windows 10 Laptop) eine VPN Verbindung zu meinem Netzwerk über ein Synology NAs herstellen kann. Nun habe ich die Wahl zwischen L2TP und OpenVPN. Habe gelesen, dass OpenVPN sicherer sein soll, stimmt das?

L2TP habe ich schon erfolgreich konfiguriert. Bei Open VPN bin ich gerade dran.
Ich kann zwischen unzähligen Verschlüsselungs und Authentifizierungsverfahren wählen. Woher weiß ich welche die sicherste ist?
EIne Übersicht habe ich nicht gefunden.

Habe nur einmal gelesen, dass AES-256-CBC sicher sein soll und bei der Authentifizierung SHA512. Stimmt das, ist das sicher so oder gibt es da noch etwas sicheres?

Welche Methode würdet Ihr bevorzugen L2TP oder OpenVPN?
Vorteil von Openvpn ist das nur ein beliebiger Port aufgemacht werden muss. Ist da UDP oder TCP besser?
Weiterhin könnte ich das VPN der Fritzbox auch noch verwenden.

Viele Grüße

 

[Bogeyman]

L2TP hat den Vorteil dass bei vielen Systemen keinen VPN Client mehr installieren muss.
OpenVPN hat den Vorteil dass es bei Firewalls weniger Probleme macht insbesondere wenn du dich in einem Netzwerk befindest wo die Standardports zum Surfen offen sind.

SSTP würde die Vorteile vereinen sofern deine Systeme einen SSTP Client haben. Bei Windows ist das der Fall. Natürlich brauchste dann aber auch nen SSTP Server auf der anderen Seite.

 

[uhrzeit]

Ich arbeite seit 4 Jahren eigentlich nur noch ausschließlich mit Open VPN und bin damit bisher immer sehr gut gefahren.

Wie sich L2TP und Open VPN von der Sicherheit her im Vergleich schlagen kann ich dir gerade adhoc nicht sagen. Mit AES-256 und SHA512 solltest du aber ganz gut fahren. Wofür genau möchtest du das denn verwenden (Um den Sicherheitsaspekt einschätzen zu können).

Bzgl. TCP und UDP verwende ich eigentlich, bis auf wenige Ausnahmen, immer UDP. So können die Anwendungen die sich über den VPN verbinden quasi selbst entscheiden ob UDP oder TCP verwendet wird. Natürlich verwenden die Anwendungen Selbst ggfs immernoch UDP, allerdings wird der VPN Tunnel anschließend die Korrektheit der Übertragung sicherstellen. So hebelst du den Bandbreitenbonus von UDP praktisch wieder aus. Anwendungen die TCP benötigen, werden von Haus aus selbst die Kommunikation mittels TCP aufbauen und die Korrektheit der Übertragung sicherstellen.

TCP verwende ich z.B. wenn ich mich mittels VPN mit meiner VoIP Telefonanlage verbinde, da ist die Sprachqualität dann meistens doch etwas besser. Habe dadurch aber manchmal auch schon einen erheblichen Delay beim Telefonieren erlebt, weswegen ich dann Situationsabhängig wieder auf UDP wechsle.

 

[Nilson]

Tunnel über UDP laufen lassen. Bringt nix TCP noch mal mit TCP abzusichern. Ist sogar eher hinderlich.

 

[Don-DCH]

Danke euch für die schnellen und ausführlichen Antworten!

Client finde ich nicht so hinderlich, dass macht man ja nicht so oft. SSTP wird leider nicht unterstützt.
Möchte von öffentlichen Hotspots eine Verbindung zu meinem Heimnetzwerk um dort auf das NAS oder auch den Server zuzugreifen.

Alles klar, dann werde ich UDP verwenden.
Ich habe die Konfig durch entfernen der # vor redirect angepast, dass aller Verkehr über das VPN laufen soll.

Bei wieistmeineip.de wird mir interessanterweise über L2TP nur eine IPV4 angezeigt bei OpenVPN die Primäre eine IPV6 und dann aber nach einiger Zeit manchmal die IPv4 oder das keine gefunden werden kann. Wie kann ich sichergehen, das der komplette etzwerkverkehr über VPN läuft?

Ist es bezüglich der Sicherheit egal ob der VPN Server auf dem NAS läuft oder direkt in der Fritzbox?

Danke euch!

 

[uhrzeit]

Welchen VPN verwendest du denn nun?

Ich vermute mal OpenVPN? In dem Fall sollte die redirect gateway Option eigentlich ausreichen, dass sämtlicher Verkehr über den VPN server geleitet wird.

Prüfen kannst du das z.B. in dem du dir mal die Routing Tabelle bei verbundenem VPN ansiehst. Unter Windows sieht das bei mir z.B. bei verbundenem VPN so aus:

C:\Users\Frostball>route print

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      172.16.10.1    172.16.10.146     25
          0.0.0.0        128.0.0.0      10.3.79.254      10.3.79.199    259
        10.3.79.0    255.255.255.0   Auf Verbindung       10.3.79.199    259

Zeile 7 ist mein Standardgateway hier im Netzwerk. Das dürfte bei dir dann der jeweilige Router des (W-)Lan Netzes sein in dem du dich befindest.
Zeile 8 zeigt dann als nächstes Default Gateway den VPN-Server (in deinem Fall wäre das die IP Adresse des NAS aus dem VPN-Adresspool.

Wenn du dann mal zum Test einen Traceroute auf Google startest sollte das z.B. so aussehen, nur eben analog als ersten HOP die IP deines VPN Servers:

C:\Users\Frostball>tracert -d google.de

Routenverfolgung zu google.de [216.58.204.67]
Über maximal 30 Hops:

  1    15 ms    15 ms    15 ms  10.3.79.254   #IP Adresse deines VPN Servers
  2    15 ms    16 ms    16 ms  91.109.20.247 
  3    16 ms    15 ms    15 ms  178.162.223.216 
  4    19 ms    15 ms    19 ms  31.31.38.124 
  5    16 ms    15 ms    15 ms  80.81.192.108 
  6    15 ms    15 ms    15 ms  216.239.57.113 
  7    16 ms    15 ms    16 ms  209.85.241.231 
  8    22 ms    21 ms    22 ms  108.170.236.120 
  9    30 ms    30 ms    30 ms  108.170.237.243 
 10    27 ms    27 ms    27 ms  216.239.57.236 
 11    31 ms    37 ms    30 ms  108.170.238.123 
 12    30 ms    31 ms    34 ms  216.58.204.67 #IP Adresse des Google Servers

Ablaufverfolgung beendet.