VPN Server im Router aktivieren oder besser nicht?

ace-drink

Lt. Commander
Registriert
Juni 2008
Beiträge
1.296
Hi,

eine Verständnisfrage bitte.

Mein Asus Router könnte einen OpenVPN Server starten aber ist das sicherer als sagen wir OpenVPN auf einem Pi dahinter laufen zu lassen oder Wireguard?

Beim Router muss ich kein Port forwarden wenn der Server da läuft aber offen/Listen muss dieser ja dennoch sein? Oder steh ich auf dem Schlauch? Nachteil sehe ich das mein Router seit knapp 8 Monaten kein Update bekam und daher die OpenVPN Server Version nicht aktuell ist und daher potentiell unsicher?

Wenn ich das ganze auf einem Pi laufen lasse muss ich natürlich den Port XYZ forwarden, was immer ein gewisses Risiko darstellt aber zumindest wäre da die VPN Software auf dem neuesten Stand und auch der Pi ist immer aktuell und nur via ssh und ssh key verfügbar.

Was ist safer? Im Router direkt oder selber dahinter inklusive Port forwarden oder sich das komplett sparen und sowas wie Tailscale nutzen?
 
ace-drink schrieb:
Wenn ich das ganze auf einem Pi laufen lasse muss ich natürlich den Port XYZ forwarden, was immer ein gewisses Risiko darstellt aber zumindest wäre da die VPN Software auf dem neuesten Stand und auch der Pi ist immer aktuell und nur via ssh und ssh key verfügbar.

Was ist safer? Im Router direkt oder selber dahinter inklusive Port forwarden oder sich das komplett sparen und sowas wie Tailscale nutzen?
Port-forwarding stellt nur insofern ein Risiko dar, wie der dahinter zu erreichende Dienst angreifbar ist. Wenn dein ASUS-Router und damit dessen openVPN server nicht mehr mehr mit updates versorgt wird, ist das natürlich ein Problem.

Wireguard auf dem rPi wäre sicher eine gute Lösung, allerding etwas tricky zu konfigurieren, wenn du deine restlichen Geräte erreichen willst.
 
  • Gefällt mir
Reaktionen: _anonymous0815_
Du hast Dir Deine Frage selbstständig beantwortet. Eine Portfreigabe findet auch direkt auf dem Router statt, nur eben keine Weiterleitung, weil der Router (Insofern er die Internerverbindung herstellt) vor und nicht hinter dem NAT steht. Von diesem Sicherheitsaspekt macht es keinen Unterschied. Dass eine Version auf einem Pi aktueller sein könnte, macht schon einen Unterschied und deshalb würde ich auch zum Pi raten und eventuell als Einsteiger direkt zu Wireguard, da unkomplizierter in der Einrichtung und birgt weniger (fatales) Fehlerpotenzial.
 
  • Gefällt mir
Reaktionen: DayvanCowboy
Welches Modell hast du denn genau? Die Asus Kisten können auch WireGuard. Mit der letzten Merlin Version ist es auch endlich dort verfügbar.

Screenshot_20221214_230410.jpg

Letztenendes ist es nicht unsicherer es auf dem Router laufen zu lassen. Den Port musst du eh aufmachen.
 
asus router haben so einige sicherheitslücken in der vergangenheit gehabt, da würde ich so wenig wie möglich aus dem netz erreichbar machen. dann lieber wireguard/openvpn auf einem pi dahinter. den musst du natürlich auch aktuell halten, aber da kommen im fall einer sicherheitslücke die updates auf jeden fall schneller.
 
@SaxnPaule ja, und? damit leitet der router das paket aber nur weiter und schaut es sich nicht genauer an. d.h. mit einem paket mit z.b. manipulierten wireguard-daten wird man so keine exploits auf dem router ausnutzen können - wenn der router selber wireguard abschliesst dagegen schon.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin und Yesman9277
Ob du VPN am Router aktivieren willst oder nicht hängt primär auf deine Zielsetzung an. Nenne uns doch deine Idee dahinter und den genauen Zweck.
 
Eine Portweiterleitung im Router ist für sich genommen kein Sicherheitsproblem. Der Router leitet einfach nur die dort ankommenden Pakete ungesehen an die lokale Ziel-IP weiter. Etwaige Sicherheitslücken im Router spielen dabei keine Rolle, weil die sich auf Dienste auf dem Router selbst beziehen - beispielsweise eine veraltete Version des VPN-Servers mit ungepatchten Bugs. Das Risiko der Portweiterleitungen liegt im Dienst, der am Ende der Weiterleitung liegt. Ob dieser potentiell unsichere Dienst aber lokal auf dem Router läuft (ohne PW) oder auf einem PI dahinter (mit PW) spielt keine Rolle.


VPN auf Router vs PI:

Der Vorteil des VPN-Servers im Router liegt weitestgehend darin, dass der Router bereits für diesen Einsatzzweck vorkonfiguriert ist. Die Einrichtung beschränkt sich daher in der Regel auf die Erstellung von Keys und den Download von Konfigurationsdateien. Wird die Firmware des Routers aber nicht aktuell gehalten - sei es durch den Nutzer, der keine Updates einspielt, oder den Hersteller, der keine Updates zur Verfügung stellt - kann es natürlich passieren, dass bekannt gewordene Sicherheitslücken im VPN-Server nicht geschlossen werden. Wie oft sowas vorkommt sei mal dahingestellt.

Ein VPN-Server auf einem PI, o.ä. erfordert dagegen mehr Aufwand, da ein PI eben nicht bereits bei der Auslieferung als Router konfiguriert ist. Stattdessen muss man sich um Routing, Firewall und Co selbst Gedanken machen bzw. sich durch Tutorials, etc. ackern - oder man verwendet ein fertiges Image bzw. Paket für den PI, das explizit für VPN zusammengestellt wurde.

Führt man beim PI auch keine Updates durch, ist das VPN auf dem PI so sicher und unsicher wie auf einem Router, der keine Updates bekommt - ausgehend davon, dass in beiden Systemen vergleichbare Verschlüsselung konfiguriert ist.
 
  • Gefällt mir
Reaktionen: Roesi, 0x8100 und Nilson
Also danke erstmal an alle. Router ist ein Asus AX92U und der bekommt schon noch Updates aber das letzte war im Januar 2022. Generell ist er aber nicht end of life.

Ok habe es alles verstanden. In dem Fall nehme ich wohl meinen Pi und mache via PiVPN einen Wireguard Server auf. Der Pi ist immer aktuell. Täglich via Cron updates.

Wobei ich immer noch bissle mit Tailscale liebäugel da man sich einige Schritte spart (Port freigeben, DDNS) und es einen erlaubt nur dann alles durch einen Exit node bei zu schicken wenn ich das will (fremdes WiFi)und sonst (mobile data) nur die DNS anfragen zu meinem AdguardHome.

Aber gut zu meiner ursprünglichen Frage denke ich es ist safer den stets aktuellen PI als VPN zu nehmen und ggf. noch so einzurichten das er nur Wireguard Clients akzeptiert.
 
ace-drink schrieb:
Wobei ich immer noch bissle mit Tailscale liebäugel da man sich einige Schritte spart (Port freigeben, DDNS) und es einen erlaubt nur dann alles durch einen Exit node bei zu schicken wenn ich das will (fremdes WiFi)und sonst (mobile data) nur die DNS anfragen zu meinem AdguardHome.
Tailscale kannte ich bisher noch nicht, aber begeistert bin ich davon auf den ersten Blick nicht. Sie sprechen davon, dass

None of your traffic ever touches our servers.

aber

Rolls out in minutes. Devices connect directly, working from any physical location or networking environment. All without poking holes in your firewall.

Normalerweise funktioniert sowas nur, wenn Techniken wie Hole Punching zum Einsatz kommen. Dabei bedient man sich einer Schwachstelle im Netzwerkstack, weil eine Verbindung zum Server von einem der anderen Clients gewissermaßen wiederverwendet wird. Durch solche Techniken werden Firewalls ausgehebelt, was mir grundsätzlich nicht schmeckt. Das, was also den "Vorteil" solcher Firewall-umgehenden Verbindungen ausmacht, kann man genauso auch als "Nachteil" auslegen - eben gerade weil die Firewall umgangen wird.

Komfort und Sicherheit sind selten unter einen Hut zu bringen. Mehr Komfort geht häufig mit weniger Sicherheit einher und andersherum. Je einfacher man irgendwo reinkommt, umso einfacher .. .. kommt man rein...


Auch deiner Argumentation kann ich nicht so recht folgen, weil es auch bei WireGuard, OpenVPN und IPsec nur eine Frage der Konfiguration ist was über die VPN-Verbindung geschickt wird und was nicht. Simples Beispiel bei OpenVPN: "redirect-gateway", was in dem Fall den gesamten Traffic durch das VPN schickt, während OpenVPN ohne diese Option nur die konfigurierten Subnetze/IPs durch die VPN-Verbindung leitet.
 
@Raijin
ich nehme an das was hier beschrieben ist dem Hole Punching entspricht. NAT Traversal....
Ich weiss dass ich WG und OpenVPN so einstellen kann das nur Subnet IPs darüber gehen oder eben alles aber wird dann schon etwas komplizierter, wenn ich das mal so oder mal so nutzen möchte. Brauche ja dann verschiedene Konfigs... geht bestimmt nur halt nicht so easy wie bei Tailscale, wo ich in der App sagen kann jetzt bitte alles über meinen Exit Node schicken und ein Tap mehr dann eben nicht mehr, womit man sicher wieder bei Sicherheit vs. Komfort landet...
Bin noch in der Phase testens :-)
 
Zurück
Oben