OpenVPN Server

1711+ · Beitrag von **1711+** » 01 Jun 2011, 21:48

Hallo,

wieder mal eins Wunsch meinerseits..

Ein OpenVPN Server wäre sehr praktisch. Eben überall da wo bereits ein anderer IPsec Client installiert ist, an dem man nichts ändern/hinzufügen soll/will.

Ich weiß dass Ipsec und der NCP Client ganz toll sind. Aber wenn man den NCP aus Prinzip nicht nutzt hätte OpenVPN zudem den Vorteil von Port 443.

MfG

1711+

Edit: Nur IPsec ist einfach zu unflexibel. Mit diesem Argument lehnen immer öfter Kunden Lancom Geräte als VPN-Router ab. Ich habe in letzter Zeit mehr pfsense Firewalls aufstellen müssen als Lancoms. Weil die Leute einfach verschiedene VPN Möglichkeiten wollen. Dass PPTP tot ist kann man ja noch erklären, aber dass OpenVPN auch nicht geht eher schwer. Nur als Grund für den Wunsch.

alf29 · Beitrag von **alf29** » 02 Jun 2011, 11:15

Moin,

fragen wir mal soherum: wo würde man den Protokoll-Dokumentation zu OpenVPN finden?

Einen RFC scheint's dafür ja nicht zu geben. Wenn das eines der Protokolle der Sorte 'Doku
ist im Quellcode' ist, dann weiß ich nicht, ob sich jemand bei LANCOM damit auseinandersetzen
möchte. LCOS ist nun einmal ein komplett eigenes System, mit eigenen Betriebssystem-
Schnittstellen, d.h. irgendwelchen fertigen Code für ein anderes BS einzusetzen ist schwierig
bis unmöglich, und wenn ich mir die Funktion erst per Reverse Engineering aus einem Source
herauspopeln muß und ich das mit jeder neuen OpenVPN-Version potentiell wieder machen
muß, dann wird früher oder später jemand fragen, was das denn für ein Frickel-Protokoll ist.

Lustige Note am Rande: MPPE für's LCOS wird vermutlich in nächster Zeit kommen...

Gruß Alfred

1711+ · Beitrag von **1711+** » 02 Jun 2011, 17:09

Hallo alf,

danke für die ausführliche Antwort. Du hast recht, das ist wirklich eher Frickelei. Ich wusste garnicht dass es dazu keine RFC gibt. Hatte ich mir auch nie Gedanken gemacht. Ist dann natürich doof, da kann man auch gleich was eignes erfinden und das Rad neu verkaufen.
Ich vermute die anderen Anbieter ala Securepoint und Pfsense machen das durch ihren Linux/BSD Unterbau. Da dürfte dies viel einfacher sein.
Ist aber auch nicht so schlimm wenn dann MPPE verfügbar ist. Es geht meistens nur darum dass man einen Client der nur wenige Tage oder Stunden mal rein muss flexibel auch was anderes als IPsec einrichten kann. Ich höre einfach oft dass Kunden selbst ohne Grund mehrere VPN Möglichkeiten erwarten.. andererseits öffnet das jetzt den PPTP Fanatikern wieder Tür und Tor.. :-/

Darf ich fragen wie es dazu kommt dass MPPE jetzt kommt? Das muss doch nen Grund haben, ist ja wirklich nicht mehr der neueste Hype.^^

Gruß

1711+

alf29 · Beitrag von **alf29** » 02 Jun 2011, 17:38

Moin,

Ich wusste garnicht dass es dazu keine RFC gibt.

Ich habe jedenfalls nichts gefunden. Sie setzen zwar auf Standard-Protokollen wie SSL/TLS
auf, aber ansonsten gibt es genug offene Fragen, wie z.B. die Payload 'verpackt' wird. Ich
behaupte nicht, daß es da nichts an Doku gibt, aber ich habe bisher nichts dazu gefunden.

Ich vermute die anderen Anbieter ala Securepoint und Pfsense machen das durch ihren Linux/BSD Unterbau. D

Die nehmen eben den fertigen Code, den es von den OpenVPN-Leuten für das BS ihrer Geräte
gibt. Ich weiß, wir machen's uns mit dem LCOS öfters schwerer als es sein müßte, aber man
hat andererseits dadurch auch viel mehr Freiheiten, eigene Ideen und Wünsche umzusetzen.

andererseits öffnet das jetzt den PPTP Fanatikern wieder Tür und Tor.. :-/

Also da bin ich jetzt nicht besonders fanatisch, weder in der einen oder anderen Richtung.
Ist auch nicht unbedingt mein 'Gebiet', außer daß ich größere Teile des SSL/TLS-Stacks im
LCOS geschrieben habe.

Darf ich fragen wie es dazu kommt dass MPPE jetzt kommt? Das muss doch nen Grund haben, ist ja wirklich nicht mehr der neueste Hype.^^

Soweit ich weiß, ging's um irgendwelche gängigen Handys (irgendwas mit Android?), wo man
grob die Auswahl zwischen MPPE und L2TP mit irgendwas anderem hatte, und da war MPPE
wohl der Weg des geringsten Widerstands.

Gruß Alfred

1711+ · Beitrag von **1711+** » 02 Jun 2011, 17:59

Ich für meinen Teil kämpfe eigentlich seit Jahren gegen PPTP mit MPPE oder RDP ohne VPN.
Aber trotzdem ist das eine gute Nachricht und der richtige Schritt. Zum einen wars ne peinliche Lücke und zum anderen ists doch of praktisch. PPTP ist ja mit langen Passwörtern mit Sonderzeichen zwar immer noch nicht auf einem Level mit IPsec, aber es in vielen Bereichen damit wohl tolerierbar.
Dann hat sich OpenVPN wohl auch wieder erledigt.^^

Gruß

1711+

tesme33 · Beitrag von **tesme33** » 07 Jul 2011, 09:17

hi
um das Thema Feature Wünsche etwas zu vereinfachen wäre es doch möglich in die Lancom ein Interface einzubauen an das man eigenen Code einhängen kann. Mozilla hat so was und ich kenne auch andere Systeme die es erlauben .jar Dateien zu entwickeln und an dedizierten stellen im Messageflow einzuhängen.

Gruss

alf29 · Beitrag von **alf29** » 07 Jul 2011, 12:02

Moin,

ich glaube, das stellst Du Dir zu einfach vor. Diese Schnittstelle
müßte überhaupt erstmal jemand schaffen. LCOS ist im
Moment ein monolithisch gelinktes Image ohne irgendwelche
derartigen Schnittstellen.

Und 'so eben irgendwo in den Datenpfad einklinken' ist auch
nicht. Um genauso gut oder schlecht wie z.B. das IPsec
im LCOS zu funktionieren, müßte
Dein Modul nicht nur im Datenpfad sitzen, sondern auch noch
mit diversen anderen Modulen interagieren: Verbindungs-
management, Backup, IP-Router, Firewall, Krypto-
Beschleuniger, Konfigurations-Management etc. pp.

Diese ganzen Schnittstellen müßte erstmal irgendjemand hier
programmieren, bevor Du damit etwas anfangen könntest.
Und die genannten Funktionsblöcke sind ja nicht statisch,
sondern ihre interne Arbeitsweise ändert sich schon mal
von einer LCOS-Release zur nächsten - irgendwelche
externen Schnittstellen da konstant halten zu wollen, wäre
nur mit fürchterlichen Verrenkungen möglich. Ist im Prinzip
das gleiche Thema wie der Wunsch nach einer "stabilen
Treiber-API", der im Linux-Kernel-Umfeld immer wieder
auftaucht...

Gruß Alfred