IPSec mit Strongswan oder OpenVPN?

schorsch_76

FreeBSD Fanboy
Hallo Kollegen,

seit langer Zeit nutze ich OpenVPN dennoch interessiert mich was ihr für VPN einsetzt?

Ich habe mir schon mehrfach Strongswan bzw. IPSec angesehen aber das scheint von der Komplexität und der "NAT-Tauglichkeit" nicht in jeder Konfiguration einfach zu sein. Wenn ich hier im Forum zu den Themen suche tauchen mehrere Dramen auf.

Ein RL-Arbeitskollege meinte "IPSec ist halt schon ein anderes Kaliber als OpenVPN.". Ähh .... ja .. von der Komplexität auf jeden Fall: Aber ist es auch sicherer? IPSec ist halt auf der IP Ebene und OpenVPN auf der TCP/UDP Ebene.

Zu IPSec gibt es ja da Zitat von Bruce Schneier:
“IPsec was a great disappointment to us. Given the quality of the people that worked on it and the time that was spent on it, we expected a much better result.”​
„IPsec war eine große Enttäuschung für uns. In Anbetracht der Qualifikation der Leute, die daran gearbeitet haben, und der Zeit, die dafür aufgebracht wurde, haben wir ein viel besseres Ergebnis erwartet.“​
Niels Ferguson, Bruce Schneier: A Cryptographic Evaluation of IPsec (S. 1, Abs. 2; PDF; 222 kB)

https://de.wikipedia.org/wiki/IPsec

Was ist eure Meinung dazu? Gibt es einen Sicherheitsgewinn bei korrekter Nutzung von IPSec gegenüber OpenVPN oder ist das eher religiöser Natur?

Gruß
Georg
 
IPsec ist halt ein Industriestandart und mit IKEv2 eigentlich ziemlich brauchbar geworden. Wenn’s schnell gehen soll und alle Beteiligten OpenVPN können ist das aber schneller zu implementieren. Plus mit OpenVPN kann man auch L2 VPNs bauen, manchmal braucht man das ja. IPSec wird dafür im der Regel im Kernel implementiert, was dann einen Performance Gewinn bringen kann.

Ich mag IPSec dennoch ganz gerne, weil jedes halbwegs aktuelle Betriebssystem einen Client dafür schon mitbringt. Leider unterstützen die dann oft nur ein bestimmtes Subset des Standards, sodass oftmals doch wieder trial and error angesagt ist.
 
IPSec ist halt Standard, viele nahmhafte Firewalls (Barracuda, Cisco, ..) kann man mit etwas Geduld dazu bringen mit StrongSwan zu arbeiten. Zudem: Wenns ein Sicherheitsproblem gibt ( was ich in beiden Lösungen für gleich Wahrscheinlich/Unwahrscheinlich halte ) bist du mit IPSec auf der sichereren Seite wenn im Unternehmen ein Schuldiger gesucht wird. Immerhin nehmen das "alle Großen" ;)

Ich hab mal für Mobiledevices "VPN on Demand" machen wollen (also nur für bestimmte Netze ins VPN einwählen) - das ging mit OpenVPN nicht, mit SW schon. Ist aber schon ein paar Jahre her.
 
Also sobald du auch Traffic (>10MiB/s) in deinem VPN hast führt an IPsec kein Weg vorbei in FreeBSD. OpenVPN hat einen besseren Ruf was die Einstiegshürde angeht, aber es kann fast genauso schlimm werden wie IPsec, wenn du mehr als nen Site-to-Site Tunnel mit PSK brauchst.
 
Momentan hab ich Android, Windows, Linux und FreeBSD (mit X509 Cert). Also fast die ganze Bandbreite. Ich denke mittlerweile dass ich einfach das obige Setup kopieren kann und die local_addr auf %any setzen könnte....

Mein Jetztiges VPN macht auch Tunnel Mode (auch auf Android mit der App).
 
Ich hänge mich an dieses Thema einmal an. Bin derzeit am Überlegen, ob ich zwei räumlich entfernte Heimnetzwerke über das Internet mittels VPN verbinde.

Gibt es einerseits eurerseits Erfahrungen, ob es sinnvoller ist die beiden Netzwerke auf Layer 2 oder 3 zu verbinden?

In der Zeitschrift c't wird Wireguard immer wieder erwähnt. Es gibt dazu auch einen FreeBSD Port. Hat das bereits jemand im Einsatz?
 
Ich hab Wireguard vor einiger Zeit mal testweise eingerichtet. Geht schnell und läuft.
 
... zwei räumlich entfernte Heimnetzwerke über das Internet mittels VPN verbinde.

... Hat das bereits jemand im Einsatz?
Ja, aber nicht um zwei entfernte Netzwerke mittels VPN zu verbinden, sondern ich habe 6 Geräte (an 6 verschiedenen Internetanschlüssen) über einen Server (Client-Server Architektur) miteinander verbunden.
 
In der Zeitschrift c't wird Wireguard immer wieder erwähnt. Es gibt dazu auch einen FreeBSD Port. Hat das bereits jemand im Einsatz?

Ich habe es seit Release im Einsatz und könnte mir Stand heute die Rückkehr zu IPSec nicht mehr vorstellen. Höhere Stabilität bei schlechten Verbindungen (Mobilfunk), leichter einzurichten und für mich als Softwareentwickler wichtig: deutlich eleganterer Code. ;)

Die Rückkehr zu IPSec & Co. kann ich mir beim besten Willen nicht mehr vorstellen. Wenn man sowieso auf der grünen Wiese anfängt und nicht auf breiter Front Rücksicht auf IPSec nehmen muss, würde ich auf jeden Fall WireGuard den Vorzug geben.
 
Ich verwende auch seit etwas über einem Jahr wireguard - allerdings Linux Server mit Linux+Android Clients. Läuft problemlos und flott. Wie schon erwähnt hat wireguard auch einen gewisschen Charme vom Design und der Codebasis her. Z.b. Lässt ohne gültigen Key bei einem versuchten Verbindungsaufbau nicht darauf schließen, ob auf dem Server wireguard läuft.

Im englischem FreeBSD Forum war vor 1-2 Monaten mal ein Thread zur möglicherweiße schlechten Performance von wireguard auf FreeBSD. Ich hab daraufhin einen Test - Linux Notebook <-> FreeBSD 12.1 Server gemacht. Problemlos das Heimnetz (1GBIT) ausgereizt, bei einer Last von unter 10% am sehr alten (Intel Core2Duo) Server.
 
In der Zeitschrift c't wird Wireguard immer wieder erwähnt. Es gibt dazu auch einen FreeBSD Port. Hat das bereits jemand im Einsatz?

Hello,

privat in unserem Heimnetzwerk verwenden wir einen kleinen Server mit FreeBSD. Auf diesem laufen OpenVPN und WireGuard.
OpenVPN verwenden wir, um mit unserem Laptop auf das Heimnetzwerk zugreifen zu können.
Auf dem Laptop (Linux und Windows) lässt sich dank dem graphischen NetworkManager bzw. OpenVPN-Client mit ein paar Mausklicks recht komfortabel eine Verbindung herstellen.

WireGuard wird primär für die Verbindung von Smartphones und Heimnetzwerk verwendet. WireGuard lässt sich auf dem Server verhältnismäßig recht schnell einrichten.
Für Smartphones gibt es eine App für WireGuard [1], über die eine Verbindung recht komfortabel per scannen des QR-Codes [2] eingerichtet werden kann. Einmal konfiguriert funktioniert WireGuard auf FreeBSD bis jetzt sehr gut und unproblematisch.
Wie erwähnt verwenden wir WireGuard jedoch hauptsächlich für Tunnel zwischen Smartphones und dem Heimserver, hohe Auslastungen und intensiver Datenverkehr fallen also eher nicht an...

Beste Grüße,
Laenger


[1] F-Droid bzw. Google Play oder Apple App Store
[2] libqrencode
 
Zurück
Oben