• Hallo Gast, du kaufst gerne günstig ein und erfährst oft vor deinen Freunden von interessanten Angeboten? Dann kannst du dein Talent als Schnäppchenjäger jetzt zu Geld machen und anderen PCGH-Lesern beim Sparen helfen! Schau einfach mal rein - beim Test der Community Deals!

VPN - Grundsätzliche Fragen

Timsu

BIOS-Overclocker(in)
VPN - Grundsätzliche Fragen

Hallo liebe Community,
ich hoffe das ist der richtige Bereich wenn nicht bitte verschieben:)
Ich plane bei mir zuhause einen VPN-Server einzurichten, um unterwegs auf meine Dateien zugreifen kann, sicher surfen kann und auch andere Dienste im LAN (wie z.B. TV-Recorder) zu laufen lassen. Ich nutze einen Dlink DIR 615 mit DD-WRT als Router.
Als Server soll mein HTPC, dienen der 24/7 läuft. Als Betriebssystem dient Ubuntu. Als Clients möchte ich mein gerootetes Android Smartphone (OpenVPN also möglich) sowie 1 oder 2 Laptops nutzen. Möglicherweise auch ein iOS Gerät (ist aber nicht so wichtig).
Welche Technik soll ich nutzen? OpenVPN, pptp, L2TP oder IPSec?
Was ist wegen Sicherheit zu beachten? Wenn ich erstmal alles eingerichtet habe, muss ich mich ständig darum kümmern? (automatische Sicherheitsupdates sind auf dem zukünftig VPN Server eingerichtet)
Muss ich was beachten, wenn der OpenVPN Server auf dem HTPC läuft auf dem auch persönliche Daten gespeichert sind? Einfach neuen Benutzer für den VPN Dienst einrichten oder muss man schon Richtung Virtualisierung gehen?
Da Dyndns.org ja anscheinend nicht mehr kostenlos ist, wäre no-ip.com eine Alternative?
Viele Grüße,
Timsu
 

Jimini

PCGH-Community-Veteran(in)
AW: VPN - Grundsätzliche Fragen

Ich habe mich bislang nicht großartig mit VPN beschäftigt, würde aber zu OpenVPN greifen. Updates solltest du natürlich auch nach dem Einrichten regelmäßig einspielen - von automatischen Updates rate ich persönlich ab, da ich gerne sehe, was installiert wird.
Was den Benutzer angeht: der VPN-Daemon muss sicherlich mit root-Rechten laufen. Wenn du den Daemon vernünftig einrichtest, sollte kein bedeutendes Sicherheitsrisiko bestehen.
Da no-ip.com DynDNS-Dienste anbietet, stellt es eine Alternative zum altbekannten, aber mittlerweile leider kostenpflichtigen dyndns.org dar.

MfG Jimini
 
TE
T

Timsu

BIOS-Overclocker(in)
AW: VPN - Grundsätzliche Fragen

Danke schonmal für deine Antwort.
Im wiki von ubunuusers.de steht
Zur Verbesserung der Sicherheit sollte man den Daemon unter einer unprivilegierten Benutzerkennung laufen lassen, indem man folgende Zeilen aktiviert:
...
Noch besser ist es, hier nicht auf die Kennung nobody/nogroup zurückzugreifen, sondern eine eigene spezialisierte openvpn/openvpn-Identität zu schaffen, wobei man die Shell auf "/bin/false" setzen kann.
...
Läuft so der VPN Dienst noch als root oder ist das was anderes?
Wie sieht es mit meinem Nutzerpasswort aus? sollte das besonders lang/sicher sein? Dort vllt. auch zertifikatsbasierte Authentifikation nutzen?
Mit autom. Updates hatte ich bis jetzt keine negativen Erfahrungen, Updates manuell einspielen geht ja leider nicht immer. (Wenn man mal 2 Wochen im Urlaub ist oder so)
 

Jimini

PCGH-Community-Veteran(in)
AW: VPN - Grundsätzliche Fragen

Oh, scheinbar braucht der VPN-Daemon also doch keine root-Rechte. Meiner Meinung sollte es reichen, den Daemon als "nobody" laufen zu lassen - du kannst aber natürlich auch extra für den VPN-Daemon einen Nutzer und eine Gruppe erstellen. Da das Passwort meines Wissens der einzige Angriffspunkt ist, sollte es natürlich möglichst schwer knackbar sein. Ich bin aber nicht hundertprozentig sicher, ob es noch andere Möglichkeiten gibt, ein VPN mit vertretbarem Aufwand anzugreifen, außer das Passwort zu knacken.
Natürlich sollte der Daemon auch nicht auf einem Standardport laufen, damit schließt du dann schon einen Großteil der aktiven Bots und Scanner aus.

MfG Jimini
 

pyro539

Komplett-PC-Käufer(in)
AW: VPN - Grundsätzliche Fragen

Danke schonmal für deine Antwort.
Im wiki von ubunuusers.de steht

Läuft so der VPN Dienst noch als root oder ist das was anderes?
Wie sieht es mit meinem Nutzerpasswort aus? sollte das besonders lang/sicher sein? Dort vllt. auch zertifikatsbasierte Authentifikation nutzen?
Mit autom. Updates hatte ich bis jetzt keine negativen Erfahrungen, Updates manuell einspielen geht ja leider nicht immer. (Wenn man mal 2 Wochen im Urlaub ist oder so)

Der Server startet mit Rootprivilegien, da er ja am Anfang das tun/tap-Device initiieren muss. Danach gibt er aber seine Privilegien ab und läuft als eingeschränkter User weiter. Der Apache und andere Server machen das ja auch nicht anders.

Ich würde eine rein zertifikatsbasierte Authentifizierung vorziehen. Bei OpenVPN kann man sich zwar auch mit Username und Passwort identifizieren, allerdings basiert das nur als "Layer" über der Zertifikatsebene, d.h. du musst die Zertifikate so oder so erstellen. Wenn du die private Keys noch mit einer Passphrase schützt, dann reicht das aus, da brauchst du nicht zusätzlich noch ne Passwortauthentifizierung. Anders siehts natürlich aus, wenn du mehr als eine Person hast, die zugreifen will. Entweder erstellst du dann für jede Person ein eigenes Schlüsselpaar oder du benutzt ein gemeinsames.

Automatische Updates würde ich auch nicht unbedingt empfehlen. Im schlimmsten Fall wird irgendwas zerschossen und du weißt nicht woran es liegt. Wenn du 2 Wochen im Urlaub bist und keinen Zugriff hast um Updates einzuspielen kannst du den Server ja vorher ausschalten ;)
 
TE
T

Timsu

BIOS-Overclocker(in)
AW: VPN - Grundsätzliche Fragen

Danke für die Erklärung.
Leider kann ich grad nicht am Server arbeiten da ich was ziemlich dummes gemacht habe:
Ich wollte über bei ssh zertifikatsbasierten Login aktivieren, und normalen Login sperren. Nun dachte ich das geht mit passwd -l :ugly:
Nun kann ich garnicht mehr das Passwort eingeben, Zertifikat schlägt auch iwie fehl und von ner Live CD oder von der Rootkonsole kann ich die Festplatte nicht mounten. Irgendwas mit "wrong fs type" (obwohl ich ext4 angegeben hab) und "superblocks". Da ich aber automatischen Login aktiviert habe komme ich noch wenigstens in das System kann aber "sudo" nicht nutzen.
Kann mir jemand helfen oder muss ich neu aufsetzen?
 

pyro539

Komplett-PC-Käufer(in)
AW: VPN - Grundsätzliche Fragen

"passwd -l" sorgt dafür, dass man sich überhaupt nicht mehr mit dem Konto anmelden kann. Den normalen Login bei SSH kann man sperren, in dem man "PasswordAuthentication no" in der sshd_config setzt.

Wie mountest du denn die Platte? Normalerweiße sollte das ohne Probleme klappen, wenn nicht ist dein Dateisystem im Eimer. Sicher, dass du keine Verschlüsselung oder so hast? Hast du auch die richtige Partition gewählt und nicht aus Versehen die Swap-Partition?
Lass den Dateityp mal weg, mount erkennt das in der Regel automatisch.
 
Oben Unten