Jul 16, 2021

3589

IPSec (IKEv2) oder openVPN

Guten Tag zusammen,

eventuell gab es schon mal die eine oder andere Frage: "Was ist besser?"

Nun sitze ich hier und überlege, welches VPN Protokoll für Klienten im Firmen-, Heimnetzwerk aber auch einfach nur als Proxy besser geeignet.

Beides hat seine Vor- und Nachteile.

Welche Vor- und welche Nachteile habt ihr für euch entdeckt?

openVPN

Lässt sich mit Hilfe einer einzelnen Datei beim Klienten sehr einfach einbinden. Benötigt aber zumindest unter Windows ein separates Programm
Es können mehrere Server, zumindest unter pfSense, aufgesetzt werden.

IPSec

Aus meiner Sicht ist IPSec sehr übersichtlich. Und Dank der Vergabe der IP-Adressen kann man perfekt die Firewall Regeln für jeden Benutzer definieren. Greift jedoch nur bei Linux. Weder MAC OS noch Windows hält sich an die Zuweisung der IP Adressen.

Aus meiner Sich ist IPSec auch nicht stabil genug. Es gibt unter Linux selten bis keine Wiederherstellung der Verbindung.

Was sag Ihr?

Viele Grüße

Ich

Please also mark the comments that contributed to the solution of the article

Content-Key: 1022535634

Url: https://administrator.de/contentid/1022535634

Printed on: April 27, 2024 at 04:04 o'clock

35 Comments

Latest comment

l2tp?

Moin Visucius,

ok, fügen wir L2TP hinzu.

Ich hab es jedoch nie eingesetzt. Daher kann ich dazu leider nichts sagen.

Viele Grüße

Ich

Benötigt aber zumindest unter Windows ein separates Programm
Nöö, nicht wirklich ! Klappt alles überall mit OS Bordmitteln. Guckst du HIER und auch HIER !

Aus meiner Sich ist IPSec auch nicht stabil genug

Ist auch technischer Unsinn (Thema DPD) ! Aber wo es schon kläglich bei der Winblows Recherche gescheitert ist...no comment. Na ja, ist ja auch Freitag.
Performance spricht auch eher für IPsec.

Nöö, nicht wirklich ! Klappt alles mit Bordmitteln. Guckst du HIER und auch HIER !

Ja aqui, Das ist IPSec für openVPN hat Windows keine Bordmittel. Oder habe ich etwas übersehen?

Was ist WireGuard? Habe ich gestern unter OpenSuse gesehen.

Und wo wir von OpenSuse reden. Ich sehe überall openVPN zum Beispiel jedoch OpenSuse 15.3 IPSec (IKEv2) der Zeit nicht unterstützt.

Sorry, du hast natürlich Recht. Hab im Eifer des Gefechts die Überschrift übersehen. Shame on me ! 😔

Was ist WireGuard?

Das gleiche wie OpenVPN nur etwas einfacher zu konfigurieren. Guckst du hier:
Merkzettel: VPN Installation mit Wireguard

zum Beispiel jedoch OpenSuse 15.3 IPSec (IKEv2) der Zeit nicht unterstützt.

Das ist natürlich Unsinn und eher peinlich für ein Administrator Forum. StrongSwan ist dein bester Freund !
Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
und auch hier:
Ubtuntu 20.10 mit UdmPro L2tp VPN Server verbinden
Bzw. mit GUI hier.
Mal wirklich zuerst lesen und informieren...dann schreiben.

Das ist natürlich Unsinn und eher peinlich für ein Administrator Forum. StrongSwan ist dein bester Freund !

aqui, ich weiß es ist Freitag :D

Aber nein ich habe zwei Stunden lang gesucht und bin dann auf diese Seite gestoßen:

https://software.opensuse.org/package/strongswan

"Es ist kein offizielles Paket für openSUSE Leap 15.3 verfügbar"

Ich Rede von Mausschupsoption. Konsole habe ich natürlich noch nicht probiert.

Die Geschichte mit der Geschwindigkeit ist auch so eine fragliche Nummer. Ich habe hier ein paar Seiten bei denen genau das anders herum steht:

https://anonymweb.de/vpn-protokoll-vergleich-pptp-vs-l2tp-vs-openvpn-vs- ...

"…Welche Geschwindigkeiten OpenVPN liefert, hängt vom Grad der Verschlüsselung ab, aber es ist generell schneller als IPsec.…"

https://praxistipps.chip.de/ipsec-vs-openvpn-ein-vergleich_50905

"…Falls Sie Ihr mobiles Gerät schützen möchten, sollten Sie IPSec verwenden, hierbei gibt es jedoch Abzüge in der Geschwindigkeit.…"

https://vpnoverview.com/de/vpn-informationen/vpn-protokolle-im-vergleich ...

"…Abhängig von vielen Faktoren, einschließlich der Geschwindigkeit Ihres Computers und des Servers. Aufgrund der notwendigen Zugabe von IPSec für eine gute Verschlüsselung ist L2TP/IPSec langsamer als OpenVPN.…"

Wobei die letzte Seite noch nicht einmal vernünftig geschrieben ist.

"Es ist kein offizielles Paket für openSUSE Leap 15.3 verfügbar"

Oha, was ist das denn für eine armselige Distro ? Das hat ja jedes poplige Armbian und auch der RasPi im Repository ?!

Ich Rede von Mausschupsoption.

Kein Kommentar...

Ich habe hier ein paar Seiten bei denen genau das anders herum steht:

Da hilft dann, wie immer, nur selber messen mit iPerf3 oder NetIO.

Chip als Computer Blöd mit Bildern kann man wohl auch kaum ernstnehmen in einem Admin Forum, aber egal, andere Baustelle.
Fakt ist aber das OpenVPN kein Multithreading kann und gegenüber den anderen immer etwas im Hintertreffen ist.
Das es bei OpenVPN nicht von der Verschlüsselung abhängt hat ja der Kollege @LordGurke hier schon ausführlich erörtert:
Geschwindigkeitsunterschiede Verschlüsselung OpenVPN vs. HTTPS

Da hilft dann, wie immer, nur selber messen mit iPerf3 oder NetIO.

face-wink

ok, wenn meine Frau meine Freizeit in meinem Urlaub nicht wieder durchgeplant hat, dann werde ich mir das als Projekt notieren.

Fakt ist aber das OpenVPN kein Multithreading kann und gegenüber den anderen immer etwas im Hintertreffen ist.

Ja auch das ist richtig. Aber was nützt mir das Multithreading wenn ich die Verteilung der IP Adressen und somit den erlaubten Zugriff nicht selbst bestimmen kann? Des weiteren wie gesagt, wenn mein Wunsch ist, dass der eine Benutzer mit der Öffentlichen IP Adresse nach Draußen telefoniert und der andere aber nur eine IP Adresse im Netzerreichen soll, kann ich das mit IPSec (IKEv2) nicht umsetzen, da nur ein Server eingerichtet werden kann.

Wie es mit L2TP ist kann ich nicht sagen. Muss ich mir auch mal angucken. Wobei. Vielleicht sollte ich mir einfach mal gleich Wireguard ansehen.

wenn meine Frau meine Freizeit in meinem Urlaub nicht wieder durchgeplant hat

Oha, jetzt wirds aber wieder peinlich wenn es an der Eingabe von einer popeligen kurzen Kommandozeile scheitert. 🧐
Eine Testseite: "iperf3 -s" Die andere Seite: "iperf3 -c <ip_adresse>" Fertisch...
Da braucht auch ein blutiger Laie maximal 5 Minuten für und kann dann den Rest des Tages mit der Trautholdesten in die Sonne gehen oder baden oder sie zum Essen einladen. 🤣

wenn ich die Verteilung der IP Adressen und somit den erlaubten Zugriff nicht selbst bestimmen kann?

Bahnhof, Ägypten..??? Du sprichst in Rätseln ?!

kann ich das mit IPSec (IKEv2) nicht umsetzen, da nur ein Server eingerichtet werden kann.

So so...iptables hat dein SuSE nicht ?? Das geht doch auch nicht mit OpenVPN. Dafür nutzt man immer eine Firewall oder Router mit ACL die ja nun immer im Kielwasser von VPNs mit dabei ist.
Da ist aber irgendwas mit deinem Grundverständnis von VPNs durcheinandergeraten ?!

Vielleicht sollte ich mir einfach mal gleich Wireguard ansehen.

Vielleicht solltest du das wirklich einmal machen ?! Versuch macht ja bekanntlich immer klug... ! 😉
Auf einem 10 Euro RasPi Zero ist das ja in 15 Minuten aufgesetzt zum Testen, iptables ist auch gleich mit an Bord. O.a. Tutorial natürlich vorher lesen. Da bleibt dann noch der ganze restliche Tag für Aktivitäten mit Madame über, auch ohne Urlaub !

Naja, Wireguard ist "der heiße ###" ... aber Du benötigst halt nen Client auf den Rechnern. Mittlerweile laufen die auch ohne Admin-Rechte ... und was mMn. wirklich fein ist:

Das schaltest Du einmal ein und dann läuft das (Neustart, Windows-Updates ... ) "geht durch alles durch", wie ein Bulldozer. Und wenn die Verbindung unterbrochen wird, ist es sofort wieder da. Habe hier nen MA-Rechner zurückbekommen (nach rund 4 Monaten) ... da war der Tunnel immer noch aktiv

Das ist mMn. wirklich beeindruckend. Allerdings weiß ich nicht ob das DHCP-Problem schon gelöst wurde?! Meine Setups laufen mit festen IPs.

Ich habe die letzten 1,5 Jahren damit einiges gebastelt. Beim neuen Setup versuche ich aber nur noch Wireguard für Site2Site und L2TP für Client/Server um mir die (Win-)Clients zu sparen. Finde ich einfach smarter.

Da braucht auch ein blutiger Laie maximal 5 Minuten für und kann dann den Rest des Tages mit der Trautholdesten in die Sonne gehen oder baden oder sie zum Essen einladen. 🤣

So einfach ist es leider nicht. openVPN habe ich noch nicht im Betrieb an dem Netzwerk, an welchem ich etwas testen könnte.

Und wenn man etwas testet, dann muss man absolut gleiche Bedingungen schaffen. Das heiß ich kann nicht an zwei verschiedenen Netzwerken dies durchführen. Des weiteren muss man auch einmal den Lokalen Zugriff als auch externen Zugriff testen. Und das ganze nicht nur einmal um den Mittelwert zu erhalten.

Ich habe gehört LibreSpeed eignet sich gut dazu.

So so...iptables hat dein SuSE nicht ?? Das geht doch auch nicht mit OpenVPN. Dafür nutzt man immer eine Firewall oder Router mit ACL die ja nun immer im Kielwasser von VPNs mit dabei ist.

Sage mir mal bitte wie man diese Problematik lösen kann?

Und wenn ich noch einen Klienten habe, welches nur eine einzige IP im lokalem Netzwerk erreichen soll und der Rest über seinen eigenen Router geroutet werden soll dann steigt die pfSense vollständig aus. Ich mag IPSec wirklich. Jedoch nur solange WIndows und MAC OS nicht im System sind.

O.a. Tutorial natürlich vorher lesen.

Vielen Dank für die Anleitung. Eins muss ich dir lassen. Deine Anleitungen sind wirklich Soldaten sicher

Naja, Wireguard ist "der heiße ###" ... aber Du benötigst halt nen Client auf den Rechnern. Mittlerweile laufen die auch ohne Admin-Rechte ... und was mMn. wirklich fein ist:

Wenn das Wireguard so toll ist, warum beschäftigen sich noch so viele mit openVPN oder IPSec? Warum ist das Paket auf pfSense noch immer nicht öffentlich, sondern nur in der Testphase?

Ihr macht mich wirklich sehr neugierig damit.

Wenn das Wireguard so toll ist, warum beschäftigen sich noch so viele mit openVPN oder IPSec? Warum ist das Paket auf pfSense noch immer nicht öffentlich, sondern nur in der Testphase?

Gewohnheit?
Weils halt noch neu ist?
Weils nicht überall optimal ist?
Weil „bunt“ gut ist? 😁

Watt isn datt für ne doofe Frage?

Watt isn datt für ne doofe Frage?

Datt musste einfach sein. ;) Musste doch was als kleinen Abschluss schreiben :D

So schnell kann man sich positionieren wo mach her kommt

Ich setz mich gleich mal hin und werde mal versuchen erste mal openVPN mit IPSec zu testen. Ich hoffe ich muss dann nicht wieder auf Arbeit fahren, da ich den Router zerschossen habe. :D Und dann freue ich mich auf Wireguard.

Sage mir mal bitte wie man diese Problematik lösen kann?

Ist doch alles mit egal welchem VPN Protokoll lösbar. Man weiss ja nicht genau was genau die Pfeile bedeuten sollen aber das ist (vermutlich) eine klassische Kombination aus Client VPN Dialin und Site-to-Site.

welches nur eine einzige IP im lokalem Netzwerk erreichen soll und der Rest über seinen eigenen Router geroutet werden soll dann steigt die pfSense vollständig aus.

Sorry, aber das ist doch Unsinn und weisst du doch auch selber ! Dafür hat die pfSense/OPNsense wie jede andere Firewall auch doch ein dediziertes Regelwerk um das zu lösen.
Es ist doch letztlich Wumpe welches VPN Protokoll du nutzt und welches "toll" oder weniger toll ist. (In OPNsense ist WG übrigens fest integriert da aktuellerer BSD Kernel)
Netzwerk Security machst du doch niemals über das VPN Protokoll an sich sondern immer über das Firewall Regelwerk !!! Oder hast du da etwas missverstanden ?!

versuchen erste mal openVPN mit IPSec zu testen

@Visucius Kannst du dir sparen. OpenVPN wird da verlieren wenn es um den Tunnel Durchsatz mit iPerf3 geht.

Sorry, aber das ist doch Unsinn und weißt du auch selber ! Dafür hat die pfSense/OPNsense wie jede andere Firewall auch doch ein dediziertes Regelwerk um das zu lösen.

Das Problem liegt nicht an der Sicherheit.

Selbstverständlich kann ich alles abriegeln. Ob ich es nun über die Firewall Regeln der VPN oder Server Firewall mache. Aber darum geht es mir nicht.

Ich möchte, und das habe ich im Bild leider vergessen darzustellen, dass der VPN Gast die anderen Server direkt und nicht über das VPN erreicht.

Da ich leider nicht jedem VPN Benutzer eine eigene IP-Adresse über das VPN zuweisen kann, kann ich dann, den betroffenen Benutzern (Windows und Mac OS) nur allen die Ports entweder öffnen oder sperren.

Ich habe es so gelöst dass alle Administrativen Benutzer bei mir Linux benutzen müssen. Und die IP diese haben die Anfangsbereiche der IP.

Zum Beispiel: 10.10.10.10/32

Und unter "Virtueller Adresspool" habe ich 10.10.10.100/27 angegeben. So können die wirklich nur die grundlegenden Bereiche erreichen. Aber auch hier konnte ich nur die Bereiche sperren und nicht vorbei leiten.

Und jetzt habe ich noch ein Problem. Ein Dienstleister benutzt nur Windows. Und ich kann diesen dann nicht rein lassen, da ich somit alle rein lassen würde.

Es ist doch letztlich Wumpe welches VPN Protokoll du nutzt und welches "toll" oder weniger toll ist. (In OPNsense ist WG übrigens fest integriert da aktuellerer BSD Kernel)

Leider noch nicht ganz bei der pfSense integriert. Oder interpretiere ich das falsch?

Leider noch nicht ganz bei der pfSense integriert. Oder interpretiere ich das falsch?

Ja, etwas. Zumindestens bei pfSense. Es war mal integriert in der 2.5.1 wurde dann aber wieder entfernt in der 2.5.2.
https://docs.netgate.com/pfsense/en/latest/vpn/wireguard/index.html
pfSense nutzt einen älteren BSD Kernel wo es nicht integriert ist und muss so als externes Packege wieder integriert werden. OK, aber eben nicht optimal. Im Gegensatz zu OPNsense die einen aktuellen BSD Kernel nutzt in dem WG fest integriert ist. Wenn du WG nutzen willst wäre OPNsense die bessere Wahl.

Dein Filterkonzept der VPN User ist etwas unverständlich. In der Userverwaltung der Dialin VPN Nutzer kannst du diesen doch immer feste IP Adressen je nach Usernamen zuweisen lassen. Bei Pool Usern lässt man das weg.
Damit hast du pro Benutzer immer eine feste VPN IP die man problermlos im Regelwerk customizen kann was der Nutzer darf und was nicht. Dabei ist es vollkommen egal welches Betriebssystem der User nutzt. Pool User haben dann eine globale Regel was sie dürfen und was nicht. Eigentlich doch so ganz einfach zu lösen...?!

Guten Morgen,

nun nach drei Anläufen habe ich es endlich gescahfft eine openVPN über pfSense einzurichten. Ich habe bei der

 push "route

die abschliessenden Anführungsstriche vergessen. Und erst mit Hilfe von Aqui konnte ich diesen Fehler lokalisieren. 🤫

Dein Filterkonzept der VPN User ist etwas unverständlich. In der Userverwaltung der Dialin VPN Nutzer kannst du diesen doch immer feste IP Adressen je nach Usernamen zuweisen lassen. Bei Pool Usern lässt man das weg.

Das ist richtig. Nur wird bei Windows, iOS und MAC OS Benutzern diese Zuweisung ignoriert. Und die Benutzer beziehen die IP Adressen aus dem Pool. Funktioniert jedoch bei Linux und Android alles bestens. Zumindest ist es so bei mir. Könnte aber eventuell daran liegen, dass ich IPSec bei mir falsch konfiguriert habe, denn bei mir ist der Geschwindigkeitstest genau anders herum verlaufen. Dagenen ist es zum Beispiel jedoch bei Linux Benutzern bei mir so, dass die IPSec Verbindung zwar optisch besteht, der Datenfluß wird jedoch unterbrochen, bis ich die Verbindung manuell neu aufbaue. Bei Windows Benutzern hingegen haben ich diese Probleme nicht. Die Verbindung wird ohne Fehler aufrecht erhalten.

Benutzt habe ich dazu jeweils zwei asynchrone DSL Leitungen mit 100/40 auf der VPN Server Seite pfSense 2.5.2 und 100/10 (Eigentlich 10) auf der VPN Klient Seite FritzBox, lokal installiertes Librespeed https://librespeed.org womit ich diesen Test mit einen Firefox 90 Browser durchgeführt habe. Und Iperf3 für den Test unter der Konsole.

Beide Ergebnisse egal wie oft ich diese durchführe zeigen mir an, dass die openVPN Verbindung gegenüber IPSec deutlich schneller ist.

Und hier die Ausgaben:

IPSec
Librespeed:

Iperf3:

client > server

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  5.24 MBytes  4.39 Mbits/sec   33             sender
[  5]   0.00-10.07  sec  5.16 MBytes  4.30 Mbits/sec                  receiver

server > client

[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.03  sec  13.9 MBytes  11.6 Mbits/sec                  receiver

OpenVPN
Librespeed:

Iperf3:

server > client

[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.09  sec  22.0 MBytes  18.3 Mbits/sec                  receiver

client > server

[  5]   0.00-10.00  sec  5.72 MBytes  4.80 Mbits/sec   30             sender
[  5]   0.00-10.06  sec  5.61 MBytes  4.68 Mbits/sec                  receiver

Viele Grüße

Ich

Nur wird bei Windows, iOS und MAC OS Benutzern diese Zuweisung ignoriert.

Sorry, aber das ist Unsinn und stimmt auch so in der Praxis nicht. JEDER User bekommt ja ein Zertifikat mit einem dedizierten Common Name für diesen User. Anhand dieses Common Names sind diese Geräte eindeutig identifizierbar und der OVPN Server weist diesen dann anhand der dedizierten Common Name Konfig eine feste IP aus dem Pool zu.
Das das angeblich bei den oben genannten OS nicht klappen soll ist de facto und auch nachweislich FALSCH ! Vermutlich hast du im Zertifikats Setup oder deinem Server Konfig Setup etwas falsch gemacht. Sowas sollte man dann auch besser nicht in einem Administrator Forum in dieser Form postulieren.

zeigen mir an, dass die openVPN Verbindung gegenüber IPSec deutlich schneller ist.

Die allgemeine Praxis und generell gemachte Durchsatzmessungen sprechen aber eine andere Sprache. (Siehe das Durchsatz Diagramm von oben)
Das ist auch irgendwo verständlich denn bekanntermaßen ist OpenVPN nicht Multithreading fähig, kann also den Prozess nicht auf mehrere Kerne bei Mehrkern CPUs verteilen so das es zu diesen erwartbaren Resultaten kommt.
Gut, wenn es in deinem dedizierten Setup jetzt besser rennt dann lass es so ! Never touch a running System !! 😉

Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:

Benutzt habe ich dazu jeweils zwei asynchrone DSL Leitungen mit 100/40 ...

Asynchrone DSL-Leitungen kannst Du gar nicht nutzen. Das bedeutet nämlich, Du hättest keinen "sync" und müßtest den Support Deines Providers anrufen!

Unterschied zwischen (a)symmetrisch und (a)synchron

lks

Das das angeblich bei den oben genannten OS nicht klappen soll ist de facto und auch nachweislich FALSCH !

Ja das möchte ich hoffen, dass meine Aussage falsch ist.

Nur habe ich deiner Anleitung nach die Konfiguration, mit sechs Monaten versetzt und das letzte mal vor ca zwei Monaten, nachgestellt. Und bekomme immer wieder das gleich Ergebnis.

Ich verwende immer! IPSec IKEv2 AES.

Wir können sehr gern noch einmal zusammen das ganze durch gehen. Sag mir wann und wo.

Ich habe Urlaub.

Durchsatzmessungen sprechen aber eine andere Sprache. (Siehe das Durchsatz Diagramm von oben)

Wie hast du diese Balken berechnen lassen? Wo kommen diese her?

In meinem Test habe ich "Intel(R) Pentium(R) Gold G5420 CPU @ 3.80GHz 4CPUs" verwendet.

Zitat von @Lochkartenstanzer:

Asynchrone DSL-Leitungen kannst Du gar nicht nutzen. Das bedeutet nämlich, Du hättest keinen "sync" und müßtest den Support Deines Providers anrufen!

Unterschied zwischen (a)symmetrisch und (a)synchron

Vielen Dank für die Erklärung! Und das meine ich im Ernst. Der Blog ist wirklich sehr gut! Ob ich mir die Bezeichnung merken kann? Die Zeit wird es zeigen.

Wo kommen diese her?

https://www.wireguard.com/performance/
aber auch hier:
https://www.thomas-krenn.com/de/wiki/OPNsense_IPsec_Performance_Tests
(Zitat) "Deutlich höhere Performance als OpenVPN" Was auch den hiesigen iPerf3 Ergebnissen entspricht.

Wenn's das denn nun war bitte nicht vergessen den Thread dann auch zu schliessen !
How can I mark a post as solved?

Guten morgen,

eigentlich ist es weniger eine, Frage sondern mehr eine Diskussion werden.

Bin auch noch leider nicht dazu gekommen (weil Frau mit in den Urlaub 👻 ) WG zu testen. Noch nicht einmal um Fehler suchen in IPSec bin ich zu gekommen.

Aber ich bleibe dran

Viele Grüße

Ich

Guten Tag zusammen,

ja ich habe lange gebraucht um mich mit dem Thema beschäftigen zu können. Nun ist es so weit.

Als erstes habe ich eine entfernte VM als Wireguard Server ausprobiert.

Habe ganzen Tag gebraucht um das Prinzip zu erkenne. Doch gestern Abend wurde ich aufmerksam gemacht, dass ich einen einen Fühler aus der Anleitung mit übernommen habe.... 🙈 und siehe da es ist online und nimmt Verbindungen an. Auf jeden Fall toll. Nur weiß ich wirklich nicht wie gut es verschlüsselt bei dieser Geschwindigkeit. Es nimmt fast nichts von Datendurchsatz weg. bei einer 100k/6,9k Leitung hatte ich noch immer 90k/6k ... Auch der Ping ist nahezu gleich geblieben.

Nun wollte ich diesen Test an eine PfSense wie auch mit ipsec und openVPN abschließen.

Die Verbindung steht. Der Server erkennt den Klienten Daten fließen.

Freundlicher Weise hat @colinardo indem Beitrag eine Information hinterlegt, dass das Gateway nicht automatisch angelegt wird. Und man müsste das Interface für Wireguard in der PfSense auch festlegen.

Was ich jedoch nicht verstehe ist.

Unter der Firewall>Rules gibt es bereits eine Schnittstelle WireGuard diese kann ich jedoch nicht unter Routings sehen.

Mit anderen Worten fehlt mir etwas Verständnis die Gateway unter PfSense für Wireguard einzurichten.

Viele Grüße

Ich

Habe ganzen Tag gebraucht um das Prinzip zu erkenne.

Das hiesige WG_Tutorial hätte es auf 1 Stunde reduziert ! 😉

dass ich einen einen Fühler aus der Anleitung...

🤔

wie gut es verschlüsselt bei dieser Geschwindigkeit.

Kommt drauf an ob du AES NI im Setup aktiviert hast bzw. deine CPU das supportet...?!

diese kann ich jedoch nicht unter Routings sehen.

Aber in der IP Forwarding Tabelle und Diagnostics.

Sieht man auch nur wenn der VPN Tunnel aktiv ist, denn es ist ja ein dynamisches Interface was nur existiert bei aktivem Tunnel.

Warum nicht IPsec ?? Erspart dir die Frickelei mit Packages oder Plugins auf der Firewall und das Handling und Management von externen, Betriebssystem fremden VPN Clients.
Sowohl mit der IPsec Native- als auch mit der L2TP Variante benötigst du keinerlei externe Clients und kannst alles direkt aus dem OS machen. So musst du keinerlei Klienten, Firmen- oder Heimnetzwerk Nutzer zwingen externe Software zu installieren nur um dein VPN zu nutzen. Ein paar Setup Klicks im bordeigenen VPN Client und fertisch...
Einfacher gehts doch nun wirklich nicht:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Das hiesige WG_Tutorial hätte es auf 1 Stunde reduziert ! 😉

Das halte ich ja für ein Gerücht 😏

Das Thema ist dann beim ersten Anlauf doch etwas unübersichtlich und das Fehlerpotenzial oder sagen wir eher die Verständnishürde bei den "allowed ips" beträchtlich.

Nur weiß ich wirklich nicht wie gut es verschlüsselt bei dieser Geschwindigkeit.

Dazu einfach mal "google" quälen. Dieses OpenSource-System ist dokumentiert und mittlerweile auch vielfach getestet und diversen "Fachmedien" besprochen worden. Sonst wäre es auch nicht im Linux-Kernel aufgenommen worden.

Das halte ich ja für ein Gerücht

Stimmt, hast Recht. Normal wären es 30 Minuten ! 🤣
Was am Thema allowed ips unübersichtlich ist ist unverständlich. "Erlaubte IPs", dort trägt man Host IP Adressen und IP Netze ein die über den Tunnel "erlaubt" werden. Der Name selber besagt es doch...

Konzept des Crypto_Key_Routing.

Das hiesige WG_Tutorial hätte es auf 1 Stunde reduziert ! 😉

naja aqui, du weißt ja. Erst muss etwas kaputt gemacht werden bevor man die Anleitung raus sucht und dank der Anleitung heraus findet, dass es kaputt ist.

Mit hat das erste Video hier geholfen, meine Fehler zu erkennen.>

Deine Anleitung hatte ich auch offen. Nur handelt es sich bei dem Server um einen NixOS (voll der Hummer)

Kommt drauf an ob du AES NI im Setup aktiviert hast bzw. deine CPU das supportet...?!

Ich kann dazu leider nichts finden. Kannst du mir bitte einen Denkansatz geben?

Aber in der IP Forwarding Tabelle und Diagnostics.

Sieht man auch nur wenn der VPN Tunnel aktiv ist, denn es ist ja ein dynamisches Interface was nur existiert bei aktivem Tunnel.

IP Forwarding?? Ich kenne nur Port Forwarding bei PfSense.

Warum nicht IPsec ??

Meine Mission für mich ist in ersten Linie den Test abzuschlissen. Das mit IPsec und openVPN habe ich nun bereits hinter mir.

Außer dem habe ich mit IPsec noch immer das Problem mit dem Routen von IP-Adressen. Ich habe leider viel zu viele Konstellationen mit der Darf drauf der darf da drauf nicht. Der Darf unsere IP Adresse nutzen und der andere darf es nicht.

Auch ist bei meinem nächsten Projekt die Geschwindigkeit sehr wichtig.

Was am Thema allowed ips unübersichtlich ist ist unverständlich. "Erlaubte IPs", dort trägt man Host IP Adressen und IP Netze ein die über den Tunnel "erlaubt" werden. Der Name selber besagt es doch...

Konzept des Crypto_Key_Routing.

Ich muss @Visucius: wirklich recht geben. Mein Problem war mit den Zertifikaten austauschen. Und da bei mir sowieso auch schon ein Fehler vorhanden war. Konnte es auch nicht funktionieren.

Ich Depp, hätte ich doch mal den Google-Translator genutzt ... 😉

Ich habe ewig nicht verstanden, warum man im Client die freigegebenen IP-Bereiche der Server-Seite eintragen soll. Und dazu anfangs im Betrieb auch noch admin-Rechte hatte.

In meinem Augen hätte man sich damit im Normalbertrieb problemlos "höhere Zugriffsrechte" geben können.

Zudem ist alles "spiegelbildlich" ... für Konzentrations-Genies wie mich ein Quell anhaltender Freude

bei dem Server um einen NixOS (voll der Hummer)

Krustentiere ? Bahnhof ? 🤔

Ich kann dazu leider nichts finden.

System --> Advanced --> Miscellaneous

IP Forwarding?? I

Diagnostics -> Routes war schon richtig.

Ich habe leider viel zu viele Konstellationen mit der Darf drauf der darf da drauf nicht.

Dafür hast du doch eine Firewall !!
Mit einem entsprechenden Regelwerk im Tunnel ist das doch ein no brainer... Idealerweise lässt man externe User in einem separaten LAN Segment rauskommen und regelt von dort unabhängig über entsprechende Firewall Regeln den dedizierten Zugang.
Jedem IPsec VPN User kann man aus einem Pool je nach Login Credentials eine feste IP aus diesem Pool zuweisen und auf Basis dieser festen IP dann dedizierte Zugriffsrechte auf jedes einzelne Ziel explizit zuweisen.

So kann man sehr fein und granular jedem User oder jeder User Gruppe über diese feste, User bezogene IP Adresse explizite Regeln zuweisen beim VPN Zugang was erlaubt ist und was nicht.
Und das alles mit einfachen Bordmitteln ohne mit externen Clients rumfrickeln zu müssen. Auch wenn man also sehr viele "Konstellationen" mit wer darf und wer darf nicht ist das einfach und schnell mit sehr wenig Management Aufwand über Aliases der User IPs usw. zu lösen. Ganz besonders wenn man diese User in Gruppen zusammenfasst.
Einfacher und effizienter gehst doch wirklich nicht wenn man solche Anforderungen wie die deinigen hat die ja auch nicht ungewöhnlich sind sondern klassisch in der VPN User Verwaltung...

Aber OK, es gibt viele Wege nach Rom und wer eben dann trotz Beratung den rumpeligen Feldweg wählt statt den gepflasterten...nungut. Case closed...

NixOS ist eine Distribution, welche mit nur eine Datei configuriert und installiert wird.

Ich habe ein wenig herum gesucht und nur diesen Hinweis zur Wireguard gefunden:

"Nein, das tut es nicht. WireGuard verwendet ChaCha20 als Verschlüsselungschiffre anstelle von AES. Folglich ist AES-NI für WireGuard nicht nützlich."

Jedem IPsec VPN User kann man aus einem Pool je nach Login Credentials eine feste IP aus diesem Pool zuweisen und auf Basis dieser festen IP dann dedizierte Zugriffsrechte auf jedes einzelne Ziel explizit zuweisen.

Ja eine sehr gute Funktion. Funktioniert bei mir jedoch nur mit Linux und Android Geräten. Windows und MacOS greift sich eine IP Adresse aus dem Virtual Address Pool

Auch sind die Vergabe der IP Adresse nicht zwingend für jeden Benutzer gebunden. Ein Benutzer könnte praktisch eine IP Adresse, mit Admin Rechten, ändern und somit auf für ihm nicht zu gängigen Bereiche Zugriff erlangen. Ich möchte natürlich nicht ausschließen, dass es daran liegen könnte, weil ich bis her das IPsec nur falsch konfiguriert haben.

Bei Wireguard funktioniert es nicht. Wen einem Benutzer eine IP Adresse zugewiesen ist, dann bekommt er keine Verbindung unter eine anderen IP-Adresse. Ja die Konfiguration und Verwaltung ist wirklich einfacher als bei IPsec doch die Verteilung ist auf jedem Fall zuverlässig.

Aber OK, es gibt viele Wege nach Rom und wer eben dann trotz Beratung den rumpeligen Feldweg wählt statt den gepflasterten...nungut. Case closed...

Noch einmal, ich möchte einfach nur testen was ich oben bereits angekündigt habe. Ich möchte es füllen, ich möchte meins erleben. Ich hoffe das möchte mir keiner untersagen. 😝

Aber deine Hilfe brauche ich trotzdem mal.

Sobald ich mich mit dem Wireguard mit pfSense verbind kann ich das tun_wg0 zuweisen. Was ich auch natürlich gemacht habe. Und weiter?

Unter " IPv4 Configuration Type " setze Static oder None. Wenn ich None auswähle, dann kann ich kein Gateway eingeben. Wenn ich Static setze, dann muss ich eine IP Adresse eintragen, welche jedoch mir als nicht gültig abgewisen wird.

"The following input errors were detected:

This IPv4 address conflicts with a Static Route."

Folglich ist AES-NI für WireGuard nicht nützlich.

Desjalb ja auch die Empfehlung IPsec.

Windows und MacOS greift sich eine IP Adresse aus dem Virtual Address Pool

Mmmhhh... Klappt hier mit latest Win 10 und Big Sur ohne Probleme. Ggf. falsche Subnetzmaske eingegeben statt /32 eine /24 oder sowas ?

mit Admin Rechten, ändern und somit auf für ihm nicht zu gängigen Bereiche

Technisch ja, das würde aber zu einem sofortigen Abbruch der Tunnel Session führen. Ist für Angreifer also nicht zielführend.

Ich hoffe das möchte mir keiner untersagen.

Niemals in einem freien Land mit freien Entscheidungen !

This IPv4 address conflicts with a Static Route."

Das es derzeit einen Bug in den pfSense und OPNsense Packages gibt der das Crypto Key Routing kaputt macht hast du gelesen ?:
PfSense CE 2.5.2 oder 2.6.0 - Wireguard Package und das automatische Erstellen der Routen
Da musst du also etwas aufpassen derzeit. Unter normalen Umständen muss man nämlich keinerlei IPs auf den Tunnel Interfaces und Routen usw. konfigurieren bei WG. Das geht einzig und allein nur über das WG Setup GUI. Auch das virt. WG Interface muss nicht zwingend über das Assignement der Interface List zugefügt werden.

Desjalb ja auch die Empfehlung IPsec.

Stellt sich trotzdem die Frage, welche Verschlüsselung ist besser.
Ich habe hier einen Artikel entdeckt, da wird beschrieben, dass AES

AES hat eine sehr solide und durchdachte Idee hinter dem Design und einen sehr gut argumentierten Beweis gegen die differentielle/lineare Kryptoanalyse, und bis jetzt hat sich diese solide Argumentation als sehr stark gegen alle Arten von komplizierten Angriffen erwiesen.

ChaCha ist stark gegen Angriffe mit verwandten Schlüsseln, während AES in dieser Hinsicht schwach ist.

Aber wer weiß vielleicht hat da auch ein NSei Agent mit gerührt in dem Forum.

Mmmhhh... Klappt hier mit latest Win 10 und Big Sur ohne Probleme. Ggf. falsche Subnetzmaske eingegeben statt /32 eine /24 oder sowas ?

Habe ich auch schon mehre male überprüft. Das würde mich sehr freuen, wenn das der Fehler gewesen wäre. Aber nein da steht bei jedem Benutzer /32.

Niemals in einem freien Land mit freien Entscheidungen !

Ja hast du Recht verzeih mir bitte, werde nicht wieder fragen.

Ja, das habe ich bereits gesehen und gelesen, jedoch scheinbar gar nicht verstanden.

Funktioniert leider trotzdem nicht. Also der Klient ist verbunden, kann jedoch nicht erreicht werden oder etwas erreichen.

welche Verschlüsselung ist besser.

AES256 mit sha256 und Group14. AES aber immer mit GCM, siehe hier:
https://m.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen ...

Also der Klient ist verbunden, kann jedoch nicht erreicht werden oder etwas erreichen.

Wenn du den Client selber erreichen willst scheitert das meist immer an dessen lokaler Firewall. Hier solltest du also ein Auge drauf haben.

German General Encryption, Certificates Security