Eigene Zertifizierungsstelle für IKEv2-VPN
Hallo zusammen,
aktuelle Situation und Vorhaben:
ich setze zuhause einen LANCOM 1781VA-4G (VPN-5) ein. Zu diesem verbinde ich mich bei Bedarf mit meinem Google Pixel 2 via VPN (derzeit IPSec Xauth PSK; also IKEv1, richtig?). Nun möchte ich auch einen Win10-Laptop via VPN verbinden.
Zu diesem Zweck würde ich nun gerne komplett auf zertifikatsbasiertes IKEv2 umschwenken - wenn ich die Tutorials und Diskussionen richtig verfolgt habe, sollte eine VPN-Verbindung aus Sicherheitsgründen nur noch so erfolgen.
Problem 1:
Ich würde gerne Bordmittel verwenden. Android unterstützt nativ aber ja kein IKEv2. Kann mir jemand erklären, wieso? Als Best-Practice-VPN-Lösung sollte diese doch mittlerweile mal Einzug gehalten haben, oder?
Lösungsansatz zu 1:
? Vermutlich nur eine VPN-App, oder? StrongSwan wird diesbezüglich beworben. Muss ich dabei spezifische Sicherheitsbedenken gegenüber einer VPN-App haben?
Problem 2:
Leider unterstützt mein LANCOM (mit dem ich grds. sehr zufrieden bin) die Funktion der eigenen Zertifizierungsstelle (CA) nur ab einer lizenzierten VPN-25-Option (https://www.lancom-systems.de/produkte/software-optionen/lancom-vpn-opti ...) - Kostenpunkt ~200 €). Da ich die weiteren Tunnel für Zuhause (5 sind ja inklusive) beim besten Willen nicht benötige, bin ich nicht gewillt, das Geld dafür auszugeben.
Lösungsansatz zu 2:
Deswegen fiel mein Blick jetzt auf meine pfSense (in meiner Erinnerung ein ALIX 2D13), die ich nach aquis Anleitung vor Längerem aufgesetzt habe, mittlerweile aber nicht mehr einsetze (u.a. weil ich es nicht "gebacken" bekommen habe, eine funktionierende VPN-Verbindung einzurichten, was aber sicherlich an meiner Unwissenheit / Ungeduld lag). Diese pfSense müsste sich aber doch als Zertifizierungsstelle in meinem Heimnetz einsetzen lassen, oder?
1. Wo liegen mögliche Vor-/Nachteile zur Variante innerhalb des LANCOM? Sind die 200 € vielleicht doch gut angelegt?
2. Gibt es bei Administrator.de ein Tutorial, wie ich das am besten umsetze? Meine Suche war bislang erfolglos - und ich fürchte, ich brauch's etwas ausführlicher, sodass mir die allgemeinen Hinweise nicht ausgereicht haben
Vielen Dank für Eure Antworten!
Gruß
Nagus
aktuelle Situation und Vorhaben:
ich setze zuhause einen LANCOM 1781VA-4G (VPN-5) ein. Zu diesem verbinde ich mich bei Bedarf mit meinem Google Pixel 2 via VPN (derzeit IPSec Xauth PSK; also IKEv1, richtig?). Nun möchte ich auch einen Win10-Laptop via VPN verbinden.
Zu diesem Zweck würde ich nun gerne komplett auf zertifikatsbasiertes IKEv2 umschwenken - wenn ich die Tutorials und Diskussionen richtig verfolgt habe, sollte eine VPN-Verbindung aus Sicherheitsgründen nur noch so erfolgen.
Problem 1:
Ich würde gerne Bordmittel verwenden. Android unterstützt nativ aber ja kein IKEv2. Kann mir jemand erklären, wieso? Als Best-Practice-VPN-Lösung sollte diese doch mittlerweile mal Einzug gehalten haben, oder?
Lösungsansatz zu 1:
? Vermutlich nur eine VPN-App, oder? StrongSwan wird diesbezüglich beworben. Muss ich dabei spezifische Sicherheitsbedenken gegenüber einer VPN-App haben?
Problem 2:
Leider unterstützt mein LANCOM (mit dem ich grds. sehr zufrieden bin) die Funktion der eigenen Zertifizierungsstelle (CA) nur ab einer lizenzierten VPN-25-Option (https://www.lancom-systems.de/produkte/software-optionen/lancom-vpn-opti ...) - Kostenpunkt ~200 €). Da ich die weiteren Tunnel für Zuhause (5 sind ja inklusive) beim besten Willen nicht benötige, bin ich nicht gewillt, das Geld dafür auszugeben.
Lösungsansatz zu 2:
Deswegen fiel mein Blick jetzt auf meine pfSense (in meiner Erinnerung ein ALIX 2D13), die ich nach aquis Anleitung vor Längerem aufgesetzt habe, mittlerweile aber nicht mehr einsetze (u.a. weil ich es nicht "gebacken" bekommen habe, eine funktionierende VPN-Verbindung einzurichten, was aber sicherlich an meiner Unwissenheit / Ungeduld lag). Diese pfSense müsste sich aber doch als Zertifizierungsstelle in meinem Heimnetz einsetzen lassen, oder?
1. Wo liegen mögliche Vor-/Nachteile zur Variante innerhalb des LANCOM? Sind die 200 € vielleicht doch gut angelegt?
2. Gibt es bei Administrator.de ein Tutorial, wie ich das am besten umsetze? Meine Suche war bislang erfolglos - und ich fürchte, ich brauch's etwas ausführlicher, sodass mir die allgemeinen Hinweise nicht ausgereicht haben
Vielen Dank für Eure Antworten!
Gruß
Nagus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 521254
Url: https://administrator.de/forum/eigene-zertifizierungsstelle-fuer-ikev2-vpn-521254.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
2 Kommentare
Neuester Kommentar
Android unterstützt nativ aber ja kein IKEv2. Kann mir jemand erklären, wieso?
Das ist so nicht richtig ! Leider gibt es bei Android bekanntermaßen keinerlei Einheitlichkeit bei den Standard Apps. Jeder Hersteller macht die Komponenten von Android so oder so und kocht sein eigenes Süppchen. Neben anderen nachteilen ein weiterer von Android.Es gibt diverse Android Hersteller die sehr wohl IKEv2 supporten aber viele eben auch nicht.
Da wo es nicht supportet ist und nur IKEv1 nimmst du ganz einfach den Client Klassiker Strongswan den es als Download im Google Play Store gibt und der einen gute Wahl ist.
https://play.google.com/store/apps/details?id=org.strongswan.android& ...
Wie die ganzen IKEv2 Clients aller bekannten OS zu konfigurieren sind mit IKEv2 erklärt dir dieses Foren Tutorial im Detail:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Damit solltest auch DU es eigentlich gebacken bekommen, denn einfaches Abtippen reicht völlig dafür aus !! Das wirst du hoffentlich ja gerade noch hinbekommen, oder ?! Sollte es daran auch schon scheitern brauchst du vermutlich das VPN auf deiner Lancom Kiste gar nicht erst in Angriff zu nehmen.
Und Ja...mit der pfSense kannst du auch deine Server Zertifikate erstellen. Die hat im Gegensatz zu deiner Lancom Gurke eine komplette CA an Bord aber mit der XCA Option vom Kollegen @tikayevent hast du ja eine adäquate Alternative ohne dich wieder mit der pfSense beschäftigen zu müssen.
https://hohnstaedt.de/xca/
Vielleicht übst du aber mal vorher mit der pfSense ?!