Da ich momentan nicht zuhause bin für mehrere Monate und ich auf Daten von meinem Server zugreiffen muss, habe ich mir überlegt was die beste Variante ist. Am liebsten wäre mir das Windows eigene VPN gewesen, allerdings unterstüzt mein Router kein GRE Protokoll und somit fällt es leider weg.
Da ich auch später in einer Server umgebung ein VPN aufbauen muss und zwar unter Linux, denke ich ist OpenVPN eine gute wahl.
Nun habe ich nach stunden langer Konfiguration entlich eine Verbindung zwischen dem Server und PC zustande bekommen.
Was mich nun in erster Linie Interessiert ist ob diese Konfigration so Sicher genug ist um es über das Internet zu nutzen.
So wie ich das sehe wird ja nur mit der ca.crt überprüft ob sich user und server unterhaten können. Wäre es dann da nicht einfach via Sniffer diese ca.crt abzufangen und so selbst ins VPN zu kommen?
Neben der Sicherheit müsste das VPN mehrere Dinge können:
- Datenaustausch auf allen Ports von User zu Server (momentan möglich)
- Surfen über die Heimleitung (momentan nicht verwndet)
- Direkter Zugriff (falls das überhaupt geht) auf andere Clients im Netzwerk
Was mir dabei wichtig wäre ist eben das ich vom Notebook aus z.B. über ein WLan Sicher Surfen kann. Allerdings möchte ich nicht den gesammten Traffic über den Server leiten. Desshalb sollte es eine Client1 und Client2 Config geben welche entweder über das Homenetz routet oder eben direkt.
Was ich bis jetzt gelesen habe ist das ich den TUN Adapter dazu mit der LAN Verbindung Bridgen muss, aber weiter weis ich nicht.
Zusätzlich wäre es gut wenn ich direkt auf andere Clients zugreiffen könnte, heisst das sich Server 2 und 3 z.B. nicht über Server1 unterhalten müssen und so unmengen an mehr Traffic entstehen würde
Bezüglich Sicherheit und den zusatz Konfigs hier die aktuellen Konfigs:
CLIENT (IP momentan noch vom internen netzwerk)
SERVER
Wie gesagt, Sicherheit steht an oberster stelle und per Sniffing oder gar ohne Zertifikate sollte man nicht auf den Server kommen
Da ich auch später in einer Server umgebung ein VPN aufbauen muss und zwar unter Linux, denke ich ist OpenVPN eine gute wahl.
Nun habe ich nach stunden langer Konfiguration entlich eine Verbindung zwischen dem Server und PC zustande bekommen.
Was mich nun in erster Linie Interessiert ist ob diese Konfigration so Sicher genug ist um es über das Internet zu nutzen.
So wie ich das sehe wird ja nur mit der ca.crt überprüft ob sich user und server unterhaten können. Wäre es dann da nicht einfach via Sniffer diese ca.crt abzufangen und so selbst ins VPN zu kommen?
Neben der Sicherheit müsste das VPN mehrere Dinge können:
- Datenaustausch auf allen Ports von User zu Server (momentan möglich)
- Surfen über die Heimleitung (momentan nicht verwndet)
- Direkter Zugriff (falls das überhaupt geht) auf andere Clients im Netzwerk
Was mir dabei wichtig wäre ist eben das ich vom Notebook aus z.B. über ein WLan Sicher Surfen kann. Allerdings möchte ich nicht den gesammten Traffic über den Server leiten. Desshalb sollte es eine Client1 und Client2 Config geben welche entweder über das Homenetz routet oder eben direkt.
Was ich bis jetzt gelesen habe ist das ich den TUN Adapter dazu mit der LAN Verbindung Bridgen muss, aber weiter weis ich nicht.
Zusätzlich wäre es gut wenn ich direkt auf andere Clients zugreiffen könnte, heisst das sich Server 2 und 3 z.B. nicht über Server1 unterhalten müssen und so unmengen an mehr Traffic entstehen würde
Bezüglich Sicherheit und den zusatz Konfigs hier die aktuellen Konfigs:
CLIENT (IP momentan noch vom internen netzwerk)
Code:
client
dev tun
proto udp
remote 10.10.10.100 888
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
tun-mtu 1400
mssfix
SERVER
Code:
port 888
proto udp
dev tun
ca ca.crt
cert Server.crt
key Server.key
dh dh1024.pem
cipher AES-256-CBC
server 192.168.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
tun-mtu 1400
mssfix
Wie gesagt, Sicherheit steht an oberster stelle und per Sniffing oder gar ohne Zertifikate sollte man nicht auf den Server kommen