VPN via PPTP im Vgl. zu OpenVPN - ausreichend sicher?

    Hallo zusammen,


    nachdem ich hier http://forum.qnapclub.de/viewtopic.php?f=45&t=19928 erfolgreich einen VPN Tunnel via PPTP hinbekommen habe, stellt sich mir die Frage, ob VPN via PPTP im Vgl. zu der QNAP'schen Implementierung von OpenVPN "ausreichend" sicher ist.
    Mit "ausreichend", meine ich für einen uninteressanten user wie mich...


    Mein Eindruck:
    Die Sicherheit der PPTP Variante hängt wesentlich von einem möglichst kryptischen VPN user-Namen und password bzw. vom password für das Login in' s NAS via QNAP Weboberfläche ab.


    Wer über genug Ressourcen verfügt, kommt da problemlos rein, aber gilt das nicht auch für die OpenVPN Variante?


    ...oder anders herum: Lohnt der Aufwand für das "Schlüssel-Gedöns" bei OpenVPN?


    Was meint Ihr?

    Naja das kommt immer auf die Betrachtungsweise an und was ist "sicher"! 100%ige Sicherheit gibt es nicht, das ist einfach so. Die Frage ist, wie sicher muss es sein.
    Generell basiert OpenVPN auf einer anderen Basis und man arbeitet beispielsweise über Zertifikate. PPTP stellt seine Verschlüsselung über das Passwort her. Deshalb sollte dieses mindestens 16 Zeichen lang sein und entsprechend mit Groß-Kleinschreibung, Sonderzeichen und Zahlen. Soweit ich mich noch erinnere wird die Verbindung bei PPTP, beim Aufbau, noch nicht verschlüsselt. Das ist quasi der "unsichere" Faktor an PPTP. Es ist eine VPN Variante die von Microsoft "eingeführt" wurde. In der Vergangenheit galt diese als nicht besonders sicher, da angeblich Lücken aufgedeckt wurden. Was die wenigsten wissen ist, dass hier so ziemlich alles gepacht wurde und man die VPN Variante schon als "sicher" sehen kann (entsprechendes PW vorausgesetzt).
    Ich nutze beide Varianten. OpenVPN für stationäre PCs, da ich hier den Eindruck habe, dass die Performance besser ist. PPTP nutze ich mit meinen mobilen Geräten (iPhone, iPad) da diese kein OpenVPN offiziell unterstützen. Ich bin damit zufrieden und denke es ist soweit "sicher". Ich habe mein PPTP VPN User nur mit Leserechten "ausgestattet" und in eine eigene Gruppe gesteckt. Es ist nur der eine VPN Port nach draußen offen. Ich denke schon, dass dies passt. Letzendlich fährt sich mein NAS nachts auch runter, sodass es zumindest nicht die vollen 24 Std. am Netz hängt.


    Du musst für dich entscheiden, was du einsetzten willst, aber ich bin mit meiner Lösung erstmal zufrieden. Wenn sich einer auf mein NAS "häcken" sollte, dann ist das halt so. Ich mache regelmäßig noch ein Backup auf eine externe Platte. Da gibt es andere Leute die beispielsweise ihre zig Fotos freiwillig bei Facebook hochladen. Das finde ich persönlich kritischer.


    Gruß
    dabi

    Zitat von "dabi"

    ...
    Ich nutze beide Varianten. OpenVPN für stationäre PCs, da ich hier den Eindruck habe, dass die Performance besser ist.
    ...
    Da gibt es andere Leute die beispielsweise ihre zig Fotos freiwillig bei Facebook hochladen. Das finde ich persönlich kritischer.


    Gruß
    dabi



    Hallo dabi,


    danke für Deine Einschätzung!


    Ich sehe schon, bei Gelegenheit werde ich mich interessehalber auch mal mit OpenVPN beschäftigen.


    OT:
    Gleichzeitig hoffe ich noch auf einen guten (!) und "bezahlbaren" WLAN router mit simultaner Dual Band-Unterstützung aus dem small business Bereich, z. B. von cisco oder Netgear, um deren VPN Implementierung ohne großes Rumkonfigurieren nutzen zu können.


    Der "cisco VPN fähige" cisco RV220W wäre zwar bezahlbar, kann aber nicht gleichzeitig 2,4 und 5 GHz, ist hinsichtlich WLAN-Performance lt. smallnetbuilder eher Mittelklasse und scheint aufgrund der user feedbacks seit längerem ein ernsteres Firmware Problem zu haben. Alternativ könnte man natürlich einen VPN-fähigen router mit zusätzlichen access points einsetzen, dann hat man aber wieder mehr rumstehen und kommt vermutlich auch teurer(will keine 500,-für eine derartige Lösung ausgeben)...


    P.S.: Das mit facebook, xing & co sehe ich auch so.

    Der Unterschied zwischen OpenVPN und PPTP relativiert IMHO sich etwas derzeit, in der Implementierung von QNAP. Beide arbeiten mit Username/Passwort.

    Wenn du unbedingt einen Router mIt VPN Unterstützung willst, dann hole dir beispielsweise den Linksys e4200 und spiele die dd-wrt Firmware auf. Dann hast du OpenVPN oder PPTP und der unterstütz 2,4 und 5 Ghz Frequenzen. Aber ich sage gleich, dass die 5 ghz eher ernüchternd sind. Die Reichweite ist sehr beschränkt.

    Herzlichen Dank für den Link zu dieser interessanten Diskussion!


    Da (bei mir) offenbar grundsätzlich MS-CHAP v2 und nicht PAP als Authentifizierungsmethode eingestellt ist (das sieht man beim Punkt Sicherheit unter Eigenschaften der VPN-Verbindung), gehe ich von verschlüsselter Anmeldung aus.


    Klar ein IPsec / L2TP Tunnel scheint noch sicherer, aber mir reicht momentan VPN via PPTP...

    Guten morgen liebe Leser,
    hab da mal ne kurze Frage zum QNAP VPN PPTP.


    Hab VPN entsprechend eingerichtet.
    Wenn ich mich mit meinen Android per VPN nach Hause verbinde komme ich durch Eingabe der entsprechenden IP-Nummer im Browser problemlos auf das Interface meines Routers.


    Rufe ich die Adresse: x.x.x.x:8080 meines NAS auf geht das bereits nicht mehr.


    -> Portforwarding hab ich nur den TCP Port fürs VPN auf das NAS geforwarded.
    ansonsten nix kein 8080 kein 80 oder sonstiges. Ich möchten mein NAS weitestgehends nicht nach aussen öffenen.


    Jetzt meine Frage ich kenne VPN beisher von meiner Fritzbox und deren Zugangsprogramm.
    Wenn ich dies am Notebook aufrufe komme ich doch auch auf alle Geräte im Heimnetz.
    Ich dachte immer VPN = VPN nur mit unterschiedlichen Methoden.


    Muss ich denn zwingend alle möglichen Ports aufs NAS umleiten?
    Und wenn ja warum eigentlich?


    Bin mal gespannt auf Eure Antworten.
    Danke!

    Hi,


    das wurde hier schon sehr oft besprochen. Bitte nutze auch die Suchfunktion.


    Du kommst mit deiner VPN IP des VPN Servers auf dein NAS. Z.B. wenn du den Bereich 192.168.7.0/24 für dein VPN vergeben hast, ist die IP des NAS 192.168.7.1:8080 um auf das Admininterface zu kommen.

    Vielen Dank für den Lösungsansatz. Ich guck mir des an.
    PS. Hellraiser ist schon bissl grusselig oder? :)

    Einmal editiert, zuletzt von bladekiller () aus folgendem Grund: Volltextzitat entfernt!