QVPN vs. Fritzbox VPN - Sicherheit?

    Hallo zusammen,


    in diesem Artikel wird von QVPN bzw. generell von NAS VPN abgeraten:


    Security - Das NAS offen im Internet


    Stattdessen wird empfohlen lieber den VPN-Server des Routers zu nutzen. Ich frage mich wieso?


    Das Argument des Autors ist, damit das NAS nicht offen im Internet steht und die "Kloppe" abbekommt. Jetzt meine Gegenfrage: Wenn ich den VPN Server des Routers nutze, dann steht dieser offen im Netz und bekommt die "Kloppe" ab. Ein erfolgreicher Angriff kann nur stattfinden, wenn es eine Sicherheitslücke im VPN Server des Routers respektive des NAS gibt. Beides sind Konsumenten-Endprodukte für den Heimbereich und kosten wenige hundert Euro. Insofern kann ich nicht sehen, warum das eine sicherer als das andere sein soll bzw. müssten beide nicht in etwa gleich unsicher sein?

    Ich glaube, dass Fritz!OS auch ein Linux-Derivat ist. Entsprechend würde es mich nicht wundern, wenn hinter der Weboberfläche von QVPN bzw. des FritzVPNs das gleiche Linux Paket werkelt. Macht es dann noch einen Unterschied?


    Möge mich jemand erleuchten?


    Danke:)


    Peter

    Moin,

    weil ein NAS ein Storage device ist, heißt seine primäre Aufgabe ist es Daten im Netzwerk zur Verfügung zu stellen. Alles weitere ist Luxus. Eine FritzBox hat die Aufgabe Netzwerkverkehr zu regeln. Wo würdest du die Kompetenzen eines VPN hin verlegen? Das beides nur "Halbgar" ist solltest du an den Diskussionen hier über Firewall und Sicherheit herauslesen können.

    Da meine NAS nicht direkt im Internet steht ist hier kein VPN installiert. Müsste ich, und hätte nur die Wahl zwischen QNAP und AVM dann immer AVM.

    Gruß

    Das hört sich aber nach einer Bauchentscheidung an. Wem vertraue ich mehr? AVM! Aber warum? Mir fehlt da ein starkes technisches Argument.


    Wenn ich Ahnung von Linux hätte, dann hätte ich schon lange mal nachgeschaut, welche Linux Pakete im Hintergrund auf einer QNAP NAS und in einer Fritzbox arbeiten. Ich könnte mir vorstellen, dass es im Falle von IPSec auf beiden Openswan ist. Und wenn dem so ist, dann wüsste ich nicht, warum mehr für das eine als für das andere sprechen würde.


    Ich persönlich glaube nicht, dass bei QNAP oder AVM Programmierer sitzen, die einen VPN-Server "from the scratch" neu programmieren (können). Vielmehr glaube ich, dass Open Source Produkte zum Einsatz kommen und es würde mich nicht wundern, wenn es bei Synology, QNAP und AVM die gleichen sind. Allerdings würde ich den Glaube gerne durch Wissen ersetzen.

    Noch besser ist es, wenn man eine richtige Firewall einsetzt, die kennt sich dann auch mit VPN entsprechend gut aus und kann so ziemlich alles was state of the art ist.


    Bei mir läuft daher eine pfSense Hardware Appliance und wenn man damit umgehen kann, will man die Fritz nur noch als TK und DECT Station einsetzen, denn letztes kann die wirklich richtig gut und sehr komfortabel.


    Warum man QTS nicht mehr vertraut, das könnte an der jüngsten Vergangenheit liegen und den mehrfach gelungenen Angriffe auf diese Systeme.


    Ich habe bisher noch nicht viel von gelungenen Angriffen auf AVM Router gelesen, wenn die denn eine aktuelle Firmware hatte.

    Die Speedschrott Dinger zählen nicht, da hier die magenta Bude die Firmware Hoheit inne hat.


    Nach dem Skandal mit den Business Dingern (Port 443 bis 449 wurde freigegeben, obwohl nur 443 eingetragen wurde), würde ich die jedoch auch nur noch zum werfen verwenden, oder im reinen Modem Mode, wenn die denn sowas überhaupt können.


    Dann ist da noch der Punkt mit der strukturellen Netzwerksicherheit, denn wenn man Zugriff aus dem Internet auf ein System zulässt, sollte man wissen was man tut. Diesen Dienst pflegen, also sehr fix jedes Update installieren und nach Möglichkeit die IPs die von außen rein dürfen Geoblocken.

    Hier bei mir brauche ich keine IPs aus China, Russland, USA usw., mir reichen die direkten EU Nachbarn, da kommt schon genug rein.


    Aber zu guter Letzt ist jeder für die IT Sicherheit bei seinem eigenen Netz selber in der Verantwortung.

    Egal was man macht, es ist nie absolut sicher, aber das Verhältnis muss passen und hier ist der Großteil der Anwender bei AVM echt gut aufgehoben.

    Funktionieren auch nach einem Firmware Update noch, jedoch gibts auch hier mal den einen oder anderen Käfer, bei QTS sind die nur ein wenig häufiger, sind größer und tauchen auch schon mal in Gruppen auf.

    Dito.

    Und wie zuvor schon beschrieben:

    Ein NAS ist nicht dafür gemacht nackt dazustehen und Angriffe zu verteidigen.

    Deine Fritte steht auch ohne laufenden VPN an vorderster Front, mit dem qnap als vpn server schaffst du lediglich einen weiteren Angriffspunkt... Mit dem von mir nur vermuteten Nachteil, dass der qnap etwaige Angriffe auf den vpn Dienst weniger gut verarbeiten kann. Demnach wäre nach dieser Sachlage für mich eindeutig die Fritte das Gerät welches den vpn server bereitstellen sollte.

    Was mich hier massiv stört bzw. ein stück weit Unsicherheit walten lässt ist die uralte clientsoftware "shrewsoft", allerdings weiß ich nicht ob es eine alternative dazu gibt und wie unsicher die aus 2014(?) stammende client Software sein kann.

    Aus technischer Sicht vermag ich auch nicht zu sagen wer hier besser aufgestellt ist oder mehr Schwachstellen hat, ich vermute einfach dass avm das besser kann...

    Nachdem ich einst auch solche Überlegungen angestellt habe, qnap als vpn server sowieso raus war und ich das vpn der Fritte nicht haben wollte läuft bei mir (@home) unterm Strich auch eine Firewall appliance die mir den vpn Server zur Verfügung stellt. Wenn das nicht in Frage kommt würde ich die Fritte nehmen...

    Zitat von Crazyhorse

    habe bisher noch nicht viel von gelungenen Angriffen auf AVM Router gelesen, wenn die denn eine aktuelle Firmware hatte.

    Wenn ich mich recht erinnere, waren die damals auf dem Markt befindlichen Modelle alle vom OpenSSL-Bug betroffen. Und dann gab es auch noch einen weiteren Bug, eines undokumentierten, offenen Ports in Fritz!OS.

    Zitat von qnapNutzer89

    Das Argument des Autors ist, damit das NAS nicht offen im Internet steht und die "Kloppe" abbekommt.

    Der Autor hat seine Überlegungen nicht in aller Tiefe ausgebreitet. Er hat nicht ein Argument sondern mehrere aufgeführt. Er hat auch nicht schwarz-weiß gemalt, sondern verschiedene Optionen aufgezeigt, priorisiert, und die Priorisierung auch begründet. Da scheint Dir etwas entgangen zu sein bei der Lektüre des Artikels. Es reicht nicht, um welches Linux-Paket es sich handelt, sondern auch in welcher Version, mit welchen bekannten Fehlern, in welcher Konfiguration, und wo im Netzwerk positioniert. Wie will denn z.B. Dein NAS unterscheiden, ob ein IP-Paket, das behauptet, aus Deinem LAN zu stammen, nicht doch aus dem Internet stammt, wenn es für die eingehenden IP-Pakete die gleiche physikalische (und logische) Schnittstelle verwendet. Bei einem Router oder einer Firewall ist dies anders, weil es für WAN eine andere Schnittstelle verwendet als wie für LAN.

    Zitat von qnapNutzer89

    Ich glaube, dass Fritz!OS auch ein Linux-Derivat ist. Entsprechend würde es mich nicht wundern, wenn hinter der Weboberfläche von QVPN bzw. des FritzVPNs das gleiche Linux Paket werkelt. Macht es dann noch einen Unterschied?

    Da gibt es gleich mehrere Unterschiede, selbst wenn es sich um das gleiche Linuxpaket in der gleichen Version mit den gleichen Komponenten in den gleichen Versionen handeln würde. Bei FritzVPN hast Du einen Teil Deiner Konfiguration bei AVM in Deutschland gehostet, bei QVPN einen Teil bei QNAP in Taiwan. M.W. gelten in Taiwan nicht vergleichbare Bestimmungen hinsichtlich Sicherheitsanforderungen, Datenschutz, Rechtsstaatlichkeit (mit entsprechender rechtlicher Durchsetzbarkeit) wie in Deutschland. Und bei FritzVPN kannst Du ausschließlich über die GUI konfigurieren, bleiben Dir verschiedene Konfigurationsmöglichkeiten somit verwehrt, selbst wenn sie für Deine Anforderungen benötigt würden. Bei QVPN kannst Du auch noch über die Kommandozeile an Parameter heran kommen, die Dir über die GUI nicht zugänglich sind.

    Zitat von qnapNutzer89

    Wenn ich Ahnung von Linux hätte, dann hätte ich schon lange mal nachgeschaut, welche Linux Pakete im Hintergrund auf einer QNAP NAS und in einer Fritzbox arbeiten.

    Viel Glück. Und verrate mir dann, wie Du dies auf der FritzBox geschafft hast. Oder hast Du eine so alte, bekannt fehleranfällige FritzBox, dass Du da noch an eine Konsole oder Kommandozeile gelangst? Und was folgerst Du dann daraus auf eine aktuelle FritzBox, bei der diese Zugriffsmöglichkeit verwehrt wird?


    Also ich habe Linux verfolgt seit drei Monaten nach der ersten Veröffentlichung, noch bevor es eine Implementierung für Netzwerkschnittstellen in Linux gab. Der wurde erst Monate später von BSD-UNIX auf Linux portiert. Hat sich seither stark verändert. Habe keine Ahnung, ob diese Verriegelung bei FritzOS auch in den Beta-Versionen enthalten ist. Habe nie eine Beta-Version ausprobiert. Und Informationen aus Beta-Versionen halte ich nur für beschränkt übertragbar auf freigegene Versionen.

    Das sind schon eher Argumente, die mich überzeugen.


    Das Stichwort Firewall ist ja schon gefallen. Viele setzen ja auf eine pfSense auf einem APU-Board (Kosten ca. 200€), die mit einem VPN-Server kommt. Wie sinnvoll ist so ein Gerät gegenüber einer FritzBox? Ich meine bloß um es hinzustellen, damit es eingehenden Verkehr blockt und rausgehenden Verkehr durchlässt, und damit nichts anderes macht als ein NAT, ist es zu teuer. Welche Vorteile habe ich? Btw, gibt es empfehlenswerte Bücher über Firewalls und Netzwerksicherheit?

    Zitat von qnapNutzer89

    Wie sinnvoll ist so ein Gerät gegenüber einer FritzBox?

    Die Software kann schon um einiges mehr, von IDS/IPS über DNScrypt bis hin zu ordentlich funktionierenden VPN Servern. Dass man hier wirklich eine Firewall hat, die man nach Herzenswünschen konfigurieren kann bzw. muss braucht kaum erwähnt werden, allerdings ist die Einrichtung und Pflege/ Überwachung etwas aufwändiger. Man kann viel Mist dabei bauen und irgendwann gestaltet sich das Ganze zu einer Lebensaufgabe, in Betrieb nehmen und ewig unangetastet stehen lassen klappt halt nicht, dazu muss man Bock haben oder die Features wirklich brauchen. Grundsätzlich würde ich auch behaupten, dass insbesondere Sicherheitsupdates häufiger rauskommen als bei einer Fritte, zumindest bei opnsense bekommt man mindestens monatlich Updates.

    Die Vorteile muss jeder für sich selbst erkennen, also am besten mal forschen was mit opnsense/pfsense und der entsprechenden Hardware so geht und dann entscheiden ob das den "Mehraufwand" und das Geld wert ist. Ich würde z.B. niemals wieder auf eine Appliance verzichten wollen, die mir ordentlich ein LTE-failover bereitstellen kann...

    Achja und nicht unerwähnt bleiben sollte natürlich das gehärtete Betriebssystem, welches Angriffen entsprechend besser standhalten sollte...

    Einmal editiert, zuletzt von tiermutter ()

    Zitat von qnapNutzer89

    Viele setzen ja auf eine pfSense auf einem APU-Board

    Die CPU ist eine AMD Jaguar wenn ich mich nicht irre und von 2013/2014, damit total veraltet.

    https://www.netgate.com/support/product-lifecycle.html

    Ca. die gleiche Leistung gibts mit der SG-1100, die jedoch nur einen Bruchteil des Stroms verbraucht.


    Zitat von qnapNutzer89

    Wie sinnvoll ist so ein Gerät gegenüber einer FritzBox

    Das hängt davon ab, ob du ein richtiges Netzwerk aufbauen willst oder nur einstecken und fertig willst.


    Ich setze hier einige VLANs ein, die all über die Firewall laufen und das ist bei einer Fritz einfach nicht möglich.

    Da kann ich nicht Segmentieren.


    Ich kann hier sauber intern DNS Einträge setzen und noch vieles Mehr, was bei einer Fritz einfach nicht möglich ist.


    Zudem kann man Module installieren und die Firewall Funktionalität um Addblock, Geoblock usw. erweitern.


    Ein IDS/IPS @home kann man machen, muss man aber auch pflegen, was in Arbeit ausarten kann.


    Was VPN angeht, ist so eine Firewall deutlich schneller, Faktor ist hier ohne weiteres möglich und man bekommt aktuellen Stand der Technik.


    Ich baue von meiner pfSense einen IPsec Tunnel zur Fritz meine Eltern auf, die aber in kürze auch einer pfSense weichen wird.

    Weil der Tunnel zum einen sehr langsam ist und zum anderen mit IKEv1 und Aggressiv Mode nicht sonderlich sicher.


    Vergleiche doch mal die Feature List mit der von AVM:

    https://www.netgate.com/solutions/pfsense/


    Dann lade dir mal das iso und installiere das in einer VM und schaue mal rein.


    Details findest du im Handbuch, das ist auch ein wenig umfassender als bei AVM.

    https://docs.netgate.com/pfsense/en/latest/


    Das ist also nicht im Ansatz vergleichbar, wir haben ein eine Enterprise Firewall und die kann man einfach nicht mit einem Home Router vergleichen.

    Ist die Frage wie oft und wie lange man dieses VPN nutzt:

    Man nehme einen OrangePi nano, kostet mit GEhäuse etwa 15€. Dazu noch eine kleine SD Karte.

    Armbian Image draufbügeln, System starten.

    Dann OpenVPN draufmachen. Es gibt mittlerweile auch Installationsscripte - Google zeigt da einige an.

    Mit den Scripten lässt sich auch einfach ein Client.ovpn erzeugen.

    VPN Port definieren, am Router auf den OrangePi weiterleiten und gut ist.


    Der Orange Pi ist keine Höllenmaschine. Um ab und zu mal ins sichere Heimnetz zuzugreifen oder übers Heimnetz zu surfen reicht es aber allemal.

    Kleine Dienste wie PiHole oder Zeitserver lassen sich auf dem kleinen Ding auch wunderbar realisieren.

    PiHole läuft übrigens sehr gut drauf. Keine Latenzen oder Lags bei der DNS Auflösung. Trotz kleiner CPU.

    Auch als "Laie" kann man da wenig falsch machen - das Image ist fertig, das VPN gibts als Script. Eine Fehlkonfiguration ist beinahe ausgeschlossen.


    Stromverbrauch ? Habe ich nicht gemessen. Glaube so 2,5 bis max. 5 Watt.

    Auch wenn die Diskussion schon weiter ist, fehlt in den Antworten auf die ursprüngliche Frage noch ein wesentlicher Punkt: die sogenannte "defense in depth" oder gestaffelte Verteidigung.

    • Wenn das VPN direkt auf dem NAS läuft und ein Angreifer darin eine Sicherheitslücke findet und ausnutzt, ist er schon auf dem NAS.
    • Wenn das VPN auf dem Router läuft und ein Angreifer darin eine Sicherheitslücke findet und ausnutzt, ist er erst einmal nur auf dem Router und muss von dort aus über eine weitere Sicherheitslücke das NAS angreifen.

    Bei Systemen mit höheren Sicherheitsanforderungen treibt man das noch weiter und setzt mehrere Firewalls ein, die nacheinander überwunden werden müssen.

    In den dazwischenliegenen Netzen hat man dann Alarmanlagen (IDS), die mögliche Aktivitäten eines Angreifers erkennen, der die erste Hürde überwunden hat, und im Idealfall Alarm schlagen, bevor er es über die zweite schafft.


    Im Heimnetz ist der Heimnutzer das IDS, indem ihm hoffentlich irgendetwas auffällt, wenn ein Angreifer die Fritzbox geknackt hat und sich nun von dort aus die PCs und das NAS im LAN vornimmt.

    Wenn der Angreifer direkt auf dem NAS landet, hat er dazu quasi keine Chance mehr.

    Die Antworten haben mich überzeugt.


    Wie müsste dann mein Netzwerk strukturiert sein? Ich wohne in einer WG. Ich bin der Hauptmieter und mir "gehört das Internet". Zurzeit läuft eine Fritzbox mit integriertem Kabelmodem bei uns. Meine Mitbewohner nutzen den WLAN Gast Zugang der Fritzbox. Ich selbst hänge mit einem PC und meinem NAS per Kabel an der Fritzbox. Außerdem nutze ich ein eigenes WLAN für meine mobilen Geräte (Laptop, Handy) und einen Drucker. Zukünftig kommt vielleicht noch ein AV-Receiver und/oder Fernsehr mit Netzwerkanbindung hinzu.


    Wie könnte ich mein Netzwerk möglichst sicher und clever segmentieren? Wie kann mir pfSense dabei helfen und mit welcher Hardware?

    Das kommt natürlich sehr darauf an wie viel Aufwand (Zeit und Kosten/ Hardware) du auf dich nehmen willst...

    Grundsätzlich könntest du mit einer pfsense ebenfalls ein eigenes Netz für dich und für alle oder jeden einzelnen Mitbewohner aufbauen. Für jeden einzelnen erhöht das natürlich den Aufwand für Konfiguration, außerdem brauchst du an der Firewall dann entsprechend viele Ethernet Schnittstellen. Eine geht für das Internet drauf, eine für dein LAN. Viele Geräte die in dem Bereich liegen, was man sich an Hardware zu Hause hinstellen würde, haben 3 oder 4 Schnittstellen, da wird es dann also schon eng... demnach würde ich nur ein LAN für dich und ein allgemeines für die Mitbewohner zusammen aufbauen. Dann könntest du immernoch ein eigenes Gästenetz für richtige Gäste aufbauen.

    Jedes Netz braucht aber sicherlich auch ein eigenes WLAN, demnach auch einen eigenes Access Point. Einige Geräte haben zwar auch WLAN und pfsense kann ebenfalls damit umgehen, aber da ich das WLAN an dem Gerät nicht nutze habe ich keine Erfahrung wie SSIDS damit ausgestrahlt und wie viele eigene Netze damit aufgebaut werden können, evtl macht das zusätzliche APs überflüssig.

    Die Fritzbox wäre dann nur noch das Modem.

    Genau so gut könntest du dir aber auch dein Netz hinter der Firewall aufbauen, deine Mitbewohner nutzen WLAN und Ethernet direkt an der Fritte und Gäste könnten das GastWLAN verwenden. Dann bist du ebenfalls von allem abgeschottet, der Rest hat aber mit deiner FW nichts zu tun. Wäre die einfachste Lösung. Lediglich Du brauchst dann noch einen Access Point, was ggf. die Firewall selbst sein kann, so sie denn WLAN hat...

    Habe heute bei meinen Eltern die 6490 in ein TK verwandelt und ein SG-1100 aufgestellt, das Internet ist gefühlt ein wenig schneller geworden, die VPN Side to Side Anbindung ist beim Backp jetzt egal in welche Richtung durch die Leitung limitiert.


    Ich sichere jetzt in 2h das was ich zuvor in 24h gesichert habe.


    So viel zum VPN Durchsatz von einer Fritz und was amtlichem.


    Naja mit der pfSense kannst du beliebig viele VLANs einsetzen und jedem Untermieter quasi ein Netzwerk bereitstellen.

    Auch ein Gastnetz ist möglich, sogar mit einer Captiv Portal Seite, wenn man das den möchte.


    Ich sehe auf pfSense, weil es für mich eine gigantische Spielwiese ist und die Community drum rum die richtigen Denkanstöße liefert.


    Gestern für Win Laptop und iPhone IPsec mit IKEv2 und Perfec Forward Secred zum laufen gebracht, nach einer Anregung aus dem Netgate Forum.

    Denn die iOS Dinger können das, man muss nur wissen wie man die treten muss um das sauber zu aktivieren.


    Das sind einfach so Kleinigkeiten die Spaß machen, aber man muss auch bock haben sich mal in ein Problem rein zu arbeiten.

    Dann ist das aber eine riesige Netzwerk Werkzeugkiste, die einem sehr drastisch vor Augen führt, das mit den AVM teilen zwar viel bunt ist, aber Funktion anders aussieht.


    VLAN Segmentierung hast du ja jetzt schon, das Gastnetz in der Fritz ist nix anderes.


    Wenn du die ersetzt, fällt das aber weg, weil die Fritz dann nicht mehr der Router ist und die dann kein Gast WLAN Mehr anbieten kann.


    Also müsste dann ggf. auch noch was anderes an APs her.


    Da musst du mal alle Anforderungen im Detail aufschreiben, wer wo mit welchem Kabel daher kommt und wo angeschlossen ist usw.


    Dann kann man mal überlegen, wie man das umbauen könnte.


    Es wird aber ein Projekt, die Größe ist halt noch zu diskutieren.

    Zitat von qnapNutzer89

    Wie müsste dann mein Netzwerk strukturiert sein?

    Kommt darauf an, wie tief Du in Netzwerktechnik einsteigen willst und was Du investieren willst. Dennis hat schon einige Anregungen gegeben. Dein Netzwerkzugang ist wohl geeignet für eine ähnliche Konfiguration wie bei ihm. Eine andere Konfiguration verbleibt auf einem niedrigeren Sicherheitsniveau als bei ihm. VPN gehört auf den Router zum Internet, wie in dem von Dir eingangs referenzierten Artikel geschrieben.

    Wenn ich mich recht erinnere, ist der WLAN Gastzugang und je nach Konfiguration Port 4, bereits vom regulären (Heim)Netz getrennt.


    Wenn du alles trennen willst brauchst mindestens ein SOC mit drei LAN Ports -> APU2D


    Meiner Meinung ist der Gastzugang ausreichend, außer du willst DNS und URL Filter einsetzen.


    Pfsense würde ich auch nehmen.

    Es gibt noch IPFire... da gibt's meiner Meinung aber zu viele Addons etc.

    Kurze Zwischenfrage an Dennis bevor ich auf die Antworten eingehe. Ich habe gelesen, dass es Probleme geben kann mit VoIP und pfSense. Du hast geschrieben, dass du die Fritzbox bei deinen Eltern nun als TK hinter einer pfSense betreibst. Gab es bei der Einrichtung Probleme mit dem Telefon bzw. auf was gilt es zu achten?

    Auch wenn ich nicht Dennis bin ;):

    Bei mir gabs keine Probleme.

    Die entsprechenden Ports müssen frei sein bzw. eine entsprechende Firewall Regel muss eingerichtet werden, lief auf Anhieb.

    Anleitungen zur Einrichtung Fritz hinter pfSense sind genügend im Netz.

    Ich habe mich an dieser orientiert.

    Wobei die Fritz dann alles an eine ISDN Anlage weiterreicht.


    Gruss

    Ich fahre hier Variante 2, jedoch mit Ubiquiti APs und 4 SSIDs in jeweils eigenen VLANs.


    Alle VLANs laufen über einen Port in die pfSense und dann geht es von da über WAN ins Cabel Modem.

    Ich wollte halt kein doppeltes NAT oder anderen schwinskram, daher das Modem und das rennt.


    Nach der Anleitung die FSC830 verlinkt hat, läuft meine Fritz hier und die bei meinen Eltern.

    Wichtig ist halt der Keepalive der Fritz, der ist bei mir auf 30 Sekunden eingestellt, funktioniert perfekt.