illusionfactory
Goto Top

LANCOM Firewall - VPN Probleme

Hallo, zusammen,

wir haben von unserem IT-Dienstleister eine LANCOM Firewall bekommen. Als VPN Client wurde Shrew ausgerollt - im Nachhinein habe ich erfahren, dass der seit 10 Jahren nicht mehr weiterentwickelt wird, könnte ein Teil des Problems sein.

Anfangs hat VPN gut funktioniert (bis auf einen Windows 11 Rechner und einen weiteren, auf dem zwei VPN Clients von zwei Unternehmen installiert waren, die haben sich wohl gegenseitig reingegrätscht), neuerdings gibt es aber immer wieder Verbindungsabbrüche oder Schwierigkeiten beim Aufbau.

Als Alternative wurde uns der LANCOM VPN Client für 80 € pro Installation angeboten...

Hat jemand Alternativen, die problemlos laufen?
Danke face-smile

Content-ID: 6097732120

Url: https://administrator.de/forum/lancom-firewall-vpn-probleme-6097732120.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

kpunkt
kpunkt 23.02.2023 aktualisiert um 11:19:04 Uhr
Goto Top
Shrew sollte da keine Probleme machen.
Verbindungsabbrüche hatte ich auch mal mit einem Lancom (1781 oder sowas in der Richtung) in der Zentrale. Da gabs zu den VPN-Sites (site-to-site jeweils mit Lancom angebunden) immer wieder mal Aussetzer. Zusammen mit Lancom konnte der Fehler nicht identifiziert werden. (Die Vermutung war damals, dass die Firmware Probleme hatte und bei Last dann rumzickte)
Es kann aber auch sein, dass die installierte Firmware fehlerhaft ist. Schau da mal, ob die aktuell ist, oder installier eine frühere Version.

Den Client hatte ich nie am Laufen, da alles mit Shrew oder site-to-site erledigt wurde. Wenns halt am Router liegt, dann ist der Client eher egal.
Testweise kann mans ja mal versuchen. An einem Rechner, der aktuell mit Shrew Probleme hat.

Ach ja...ich hab dann zu Fortigate in der Zentrale gewechselt. In den Außenstellen werkeln noch diverse Lancoms. Und seit da keine Probleme mehr.

k.
nachgefragt
nachgefragt 23.02.2023 um 11:18:35 Uhr
Goto Top
Moin,

das Thema hatte ich auch vor kurzem, nach vielem Hin und Her sollte man homogen beim Hersteller bleiben, dass funktioniert nun zuverlässig.

Euer IT-Dienstleister hat aber sicherlich diese Kosten gegenüberstellt anderer Firewalls, richtig? Also z.B. das 10 VPN User zusätzlich mit ca. 700€ zu Buche schlagen.
Looser27
Looser27 23.02.2023 aktualisiert um 11:21:49 Uhr
Goto Top
Moin,

ich werfe mal den freien OpenVPN-Client ins Rennen. Damit hatte ich nie Probleme.
Leider sagst Du nichts zum eigentlichen VPN.....

nach vielem Hin und Her sollte man homogen beim Hersteller bleiben

Wenn man Geld zuviel hat, kann man das machen.


Gruß

Looser
wellknown
wellknown 23.02.2023 um 11:30:54 Uhr
Goto Top
Bintec-elmeg Secure Client, kommt aus der gleichen Firma wie Lancom. Nur etwas preiswerter, je nach Anzahl der Lizenzen zwischen 50.- und 70.-Euro. Nutzen wir seit 2006 ohne Probleme, erst mit Bintec VPN Access als Zugangspunkt, nun mit TelcoTech Liss4000.
IllusionFACTORY
IllusionFACTORY 23.02.2023 um 11:39:30 Uhr
Goto Top
Zitat von @Looser27:

Moin,

ich werfe mal den freien OpenVPN-Client ins Rennen. Damit hatte ich nie Probleme.
Leider sagst Du nichts zum eigentlichen VPN.....

Zum VPN selbst wüßte ich nix zu sagen mangels Ahnung (daher Dienstleister face-smile) Was möchtest Du wissen?

OpenVPN hatten wir vorher mit der pfSense im Einsatz, allerdings heißen die Config-Dateien da .ovpn, die Config-Dateien von LANCOM heißen .vpn - gibt es da Converter? face-smile
Platypus
Platypus 23.02.2023 um 11:41:31 Uhr
Goto Top
Hallo,

Das Produkt Lancom-Firewall konnte ich nicht finden, also vermute ich mal du setzt einen Lancom Router mit dessen Firewall ein ....
Das gleiche was ich hier betreibe.
VPN geht ohne Probleme mit bspw. problemlos über IPsec Site to Site nur mit Bordmitteln. Den Lancom Client (ist auch nur zugekauft) hatte ich auch im Einsatz, funktioniert auch .... mehr sage ich dazu nicht.

Also alles ganz ähnlich wie es k. handelt.

Wenn euer Dienstleister, das nicht in Griff bekommt, dann lass ihn den "Krempel" abholen.
Und verabschiede dich auch gleich von diesem Dienstleister.

Grüße
goscho
goscho 23.02.2023 aktualisiert um 11:55:24 Uhr
Goto Top
Moin,

ich betreue sehr viele Lancom-Geräte.
Bei fast allen Kunden setze ich Shrew als VPN-Client ein. Nur bei mir auf dem Notebook werkelt der Lancom Advanced VPN Client abwechselnd mit dem Shrew-Client. Je nach Bedarf

Das der Shrew seit 10 Jahren nicht aktualisert wurde, heißt nicht, dass er Probleme macht. Es bedeutet halt, dass es keine neuen Features mehr gibt.
So kann nur IKEv1 mit dem Shrew genutzt werden.
Als Client installiere ich immer die Version 2.2.2.

Probleme zwischen Lancom-Routern und dem Shrew-Client gab es auch schon und zwar lag das an einer bestimmten Firmware bei Lancom (Version habe ich vergessen). Dies konnte ich auf mehreren unterschiedlichen Geräten nachstellen.
Wenn es also ein Firmwareupgrade gab, dann ein Rollback zur vorherigen versuchen.

neuerdings gibt es aber immer wieder Verbindungsabbrüche oder Schwierigkeiten beim Aufbau.
Das ist keine konkrete Fehlermeldung. face-sad
Wenn ihr das dem Lancom Support so erzählt habt, dann gab es sicherlich keine zielführende Hilfe.

Bei Problemen mit VPN geht man in die verfügbaren Tools und erstellt einen Trace. Damit kann dann der Fehler gefunden und auch behoben werden.

Sowohl Lancom Geräte als auch die Shrew-Software bringen solche Tools mit.

Hat jemand Alternativen, die problemlos laufen?
Kann euer Dienstleister denn den Fehler nicht beheben oder hat er euch nur das (nicht genauer benannte) Lancom Gerät verkauft?
IllusionFACTORY
IllusionFACTORY 23.02.2023 um 12:09:38 Uhr
Goto Top
Zitat von @goscho:
Kann euer Dienstleister denn den Fehler nicht beheben oder hat er euch nur das (nicht genauer benannte) Lancom Gerät verkauft?

Im Gegenteil, wir haben das sogar als Managed Service. Ich möchte nur erst mal das Problem lösen, und mein erster Gedanke war der Client, der 10 Jahre out of Service ist. Scheint aber ja nicht so zu sein.

Ja, im Worst Case nimmt er das Ding wieder mit, ist aber für mich die Ultima Ratio
aqui
aqui 23.02.2023 aktualisiert um 12:38:02 Uhr
Goto Top
Als Alternative wurde uns der LANCOM VPN Client für 80 € pro Installation angeboten...
Lancom supportet mit IKEv2 und L2TP die onboard VPN Clients aller möglichen Endgeräte, egal welches Betriebssystem. Genau so wie es auch alle anderen Firewalls auf der ganzen Welt machen.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Sogar ein einfacher 30 Euro Raspberry Pi kann sowas mit links:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Aber man kann sich natürlich auch für 80 Euronen über den Tisch ziehen lassen wenn der Dienstleister selber nicht sattelfest mit seinen Produkten ist aber sich einen feixt wenn er die Marge einsteckt.
dass der seit 10 Jahren nicht mehr weiterentwickelt wird
Weil der Shrew Client auf IKEv1 basiert und das Protokoll seit Jahren mehr oder minder "ausentwickelt" ist. Da gibt es also schlicht und einfach nichts mehr zu verbessern. Der Shrew ist ein bewährter IKEv1 Client den auch AVM promotet für den Fernzugang, obwohl das nicht unbedingt ein Maßstab ist aber seine Massentauglichkeit für ihn spricht. Wenn man denn meint unbedingt noch IKEv1 einsetzen zu müssen...?!
Das parallele IPsec IKEv1 Clients sich auf einem Rechner beissen ist seit langem bekannt. Ist ja auch eigentlich unsinnig, denn mit einem v1 Client kann man ja auch alle erforderlichen v1 Peers bedienen.
kpunkt
kpunkt 23.02.2023 um 13:07:59 Uhr
Goto Top
Zitat von @IllusionFACTORY:

Ich möchte nur erst mal das Problem lösen

Dann such erstmal nach dem Fehler. Lanmonitor anwerfen, Logs ansehen, evtl. trace.
Schau mal, was das Ding so macht. Vor allem ist interessant, dass es augenscheinlich Probleme beim Aufbau der VPN-Verbindung gibt.
Wie gesagt, gleiches Fehlerbild bei mir damals. Wahrscheinlich Firmware.

Oder aber nutz den Wortteil "Dienstleister" bei eurem IT-Dienstleister.

k.
Looser27
Looser27 23.02.2023 um 13:22:50 Uhr
Goto Top
OpenVPN hatten wir vorher mit der pfSense im Einsatz, allerdings heißen die Config-Dateien da .ovpn, die Config-Dateien von LANCOM heißen .vpn - gibt es da Converter?

Die VPN Config sollte man als OpenVPN exportieren können, sofern dieses zum Einsatz kommt.
110135
110135 23.02.2023 um 13:38:12 Uhr
Goto Top
Interessant wäre zunächst einmal zu wissen, was nun wirklich zum Einsatz kommt:

- LANCOM Router mit der integr. Paketfirewall

oder

- LANCOM Firewall (ehem. Rohde & Schwarz).

Die LANCOM Router können kein OpenVPN sprechen und daher fällt der OpenVPN Client mit dem Router schon einmal aus.
Ich nutze auch den ShrewSoft Client auf diversen Geräten - absolut ohne Probleme. Einzig bei einem Windows-Update muss ich das Setup von Zeit zu Zeit nochmal rüber laufen lassen, da der Dienst nicht mehr existent ist.

Und wenn es Managed Service ist: Lass es den Dienstleister richten. Ihr bezahlt ja immerhin dafür face-smile
Uwe-Kernchen
Uwe-Kernchen 23.02.2023 aktualisiert um 13:49:57 Uhr
Goto Top
Lancom ist jetzt Teil von Rohde & Schwarz und hat damit richtige Firewalls.
www.lancom-systems.de/produkte/security/desktop-unified-firewalls

Die UF-Firewalls können außer IPSec auch Open-SSL.
OpenVPN kann keines der Geräte.

Der NCP/Bintec/Lancom Advanced VPN-Client läuft nur noch unter Windows, bei Android ist er raus.
Unter Windows ist er einfach und mit Preshare schnell eingerichtet.

Shrew scheint mir unter Android jetzt auch etwas antiquiert.
Aber mit StrongSwan läuft IPSec IKEv2 mit Zertifikaten zum Lancom (Router und Firewall) gut.

EDIT: das hat sich mit dem Beitrag darüber überschnitten, sorry
Looser27
Looser27 23.02.2023 um 14:54:17 Uhr
Goto Top
OpenVPN kann keines der Geräte.

Sorry, aber natürlich können die R&S Firewalls VPN über OpenVPN Clients.....jahrelang gemacht.
Uwe-Kernchen
Uwe-Kernchen 23.02.2023 um 15:02:25 Uhr
Goto Top
natürlich können die R&S Firewalls VPN über OpenVPN
In die Anleitung geschaut.. du hast Recht!
goscho
goscho 23.02.2023 um 17:33:05 Uhr
Goto Top
Zitat von @aqui:
Aber man kann sich natürlich auch für 80 Euronen über den Tisch ziehen lassen wenn der Dienstleister selber nicht sattelfest mit seinen Produkten ist aber sich einen feixt wenn er die Marge einsteckt.
Wieso sollte der Dienstleister ihn damit über den Tisch ziehen?
Der Lancom Advanced VPN-Client kostet erst ab Mindestmenge 10 unter 90 € pro Client.
Ob das jemand bezahlt und damit eventuell viel Arbeit und damit Kosten bei der Fehlersuche mit einem anderen Client spart, ist eine Kosten-/Nutzen-Rechnung.

Prinzipiell kann der NCP-Client schon wesentlich mehr. Ob der TO diese Funktionen auch benötigt, weiß ich nicht.

Das parallele IPsec IKEv1 Clients sich auf einem Rechner beissen ist seit langem bekannt. Ist ja auch eigentlich unsinnig, denn mit einem v1 Client kann man ja auch alle erforderlichen v1 Peers bedienen.
Das muss aber nicht sein. Bei mir sind auf dem Notebook Shrew und der Advanced VPN von Lancom parallel installiert und beißen sich nicht.

Wir wissen immer noch nicht, welches Gerät von Lancom es denn ist.
Ganz so, als ob die nur eines hätten. face-wink
SalihMesserschmidt
SalihMesserschmidt 23.02.2023 um 21:56:52 Uhr
Goto Top
Also ich betreue mehr als 30 Lancom UF-160 oder UF-260er Firewalls und alle sind über Open VPN sei es über MAC oder WIN anbindbar. Habe da nie Schwierigkeiten.
Shrew Software hat man damals mit den Lancom Routern verwendet, und diese machten immer wieder Schwierigkeiten, da nach einem FW Update vom Lancom Routern, immer gerne die Shrew Verbindung nicht mehr ging, da Lancom als Firmenpolitik diese Shrew VPN nicht gewollt hat und immer wieder was verstellt hattte.

aber die UF Firewalls mit Rohde und Schwarz, werden explizit von OpenVPN unterstützt. Beim Exportieren muss man halt, die OPVN Version anwählen.
110135
110135 23.02.2023 um 22:16:46 Uhr
Goto Top
Zitat von @SalihMesserschmidt:

Shrew Software hat man damals mit den Lancom Routern verwendet, und diese machten immer wieder Schwierigkeiten, da nach einem FW Update vom Lancom Routern, immer gerne die Shrew Verbindung nicht mehr ging, da Lancom als Firmenpolitik diese Shrew VPN nicht gewollt hat und immer wieder was verstellt hattte.


Das kann ich so absolut nicht bestätigen. In den letzten 10 Jahren hatte ich sowas nicht.
Ehrlich gesagt kann ich es rein technisch auch nicht nachvollziehen, da IPSec als Standard implementiert ist und somit kompatibel ist. Wenn es nach einem Firmware Update mal nicht laufen sollte, dann eher weil es einen Bug in der Firmware gab.
Ich habe bei der Konfiguration immer alle Parameter fest vorgegeben und nichts auf „auto“ belassen - also alle Phase 1 / Phase 2 Parameter ebenso wie die SA‘s.
SalihMesserschmidt
SalihMesserschmidt 24.02.2023 um 00:09:52 Uhr
Goto Top
Dann wurden die Bugs vermutlich mit Absicht eingebaut. Lancom mochte Shrew nie wirklich.
War schon auffällig. Ist nicht beweisbar, aber mit Anpassungen ging es immer wieder.
Ist nicht so, dass lancom Udpates immer frei von Bugs waren oder VoIP immer wieder Probleme verursachen und auch von Lancom zugegeben wurden.

Aber ich beschäftige mich mit Shrew auch schon seit langem nicht mehr und mache keine unsicheren Sachen mehr.

Entweder Lancom VPN CLient für den Lancom Router,
oder

OpenVpn für die UF -Firewalls.
goscho
goscho 24.02.2023 aktualisiert um 09:34:58 Uhr
Goto Top
Zitat von @SalihMesserschmidt:
Shrew Software hat man damals mit den Lancom Routern verwendet, und diese machten immer wieder Schwierigkeiten, da nach einem FW Update vom Lancom Routern, immer gerne die Shrew Verbindung nicht mehr ging, da Lancom als Firmenpolitik diese Shrew VPN nicht gewollt hat und immer wieder was verstellt hattte.
Da stimme ich @110135 voll und ganz zu.
Deine Aussage ist komplett an den Haaren herbeigezogen.
Ich hatte es genau mit einer einzigen Firmware bei verschiedenen (nicht allen) Lancom-Routern, dass mal mehrere Shrew-Verbindungen nicht mehr gingen. Das war zu 100% ein Bug, den die Entwickler mit dem nächsten Update behoben hatten.
Zwischenzeitlich half das Rollback zur vorherigen Version.

Der Fehler trat übrigens auch mit anderen VPN-Clienten auf, wenn man per IKEv1 verband.
Dann wurden die Bugs vermutlich mit Absicht eingebaut. Lancom mochte Shrew nie wirklich.
War schon auffällig. Ist nicht beweisbar, aber mit Anpassungen ging es immer wieder.
Um es ganz klar noch einmal zu sagen:

Das ist eine diffamierende Aussage gegenüber einem Hersteller, die du lieber bewesien können und nicht einfach so in den Raum Stellen solltest.
Das ist eher Bildzeitungs-Niveau.

Ist nicht so, dass lancom Udpates immer frei von Bugs waren oder VoIP immer wieder Probleme verursachen und auch von Lancom zugegeben wurden.
Natürlich kommen neue Bugs in eine neue Software. Das ist zwar nicht schön, aber wird sich so schnell nicht ändern lassen.
Aber ich beschäftige mich mit Shrew auch schon seit langem nicht mehr und mache keine unsicheren Sachen mehr.
Noch so eine unsinnige Aussage!
Der Einsatz von IKEv1 Clienten ist keineswegs unsicher.
SalihMesserschmidt
SalihMesserschmidt 24.02.2023 um 09:49:07 Uhr
Goto Top
Ich fasse mich kurz, da ich los muss.
Ich stelle Lancom nicht schlecht hin. Im Gegenteil, ich verwende nur deren Produkte.
Es ist nur so, dass Shrew schon in die Jahre gekommen ist.
Ich habe auch kaum Kunden die Shrew verwenden. Da die Lancoms eher Frontend sind und die OpenVPNs sich mit dem LancomFirewall dahinter verbinden.
Daher auch meine Aussage dass ich mich nicht mit dem shrew rumärger.
nachgefragt
nachgefragt 24.02.2023 aktualisiert um 09:51:39 Uhr
Goto Top
  • 10er Pack kostet inkl. Mwst 668€
  • ikev1 vs ikev2 kann jeder doch jeder googeln

https://www.bechtle.com/shop/lancom-advanced-vpn-client-windows-10er--30 ...
screenshot 2023-02-24 094917
aqui
aqui 24.02.2023 aktualisiert um 10:00:26 Uhr
Goto Top
Wie oben schon mehrfach gesagt: Mit IKEv2 den in jedem Betriebssystem vorhandenen onboard VPN Client nutzen. Einfacher gehts doch nun nicht und erspart völlig unnötiges Geldverbrennen und Frickelei mit überflüssiger Client Software! (Und deutlich performanter als das wenig skalierende OpenVPN ist es obendrein).
nachgefragt
nachgefragt 24.02.2023 aktualisiert um 10:37:06 Uhr
Goto Top
Zitat von @aqui:
Wie oben schon mehrfach gesagt: Mit IKEv2 den in jedem Betriebssystem vorhandenen onboard VPN Client nutzen. Einfacher gehts doch nun nicht und erspart völlig unnötiges Geldverbrennen und Frickelei mit überflüssiger Client Software! (Und deutlich performanter als das wenig skalierende OpenVPN ist es obendrein).
Da bin ich bei dir!
Ich versuche es nochmal mit Bordmitteln, die Hoffnung hatte ich fast schon aufgegeben. Dann auf ein Neues face-wink
"Fehler in Richtlinienübereinstimmung"

Auch beim Export der Lancom Datei selbst konnte ich die nicht einfach in den Client importieren, sondern musste nochmal Tante Google fragen und die ini Datei anpassen.

Da bin ich von Sophos zu verwöhnt: Config Datei laden, importieren, fertig.
aqui
aqui 24.02.2023 um 10:37:55 Uhr
Goto Top
Halte dich bei den Clients an die drei oben geposteten Tutorials für die Einrichtung. Da steht explizit beschrieben wie das zu machen ist. Das ist bei allen Produkten die IKEv2 können immer das gleiche! 😉
nachgefragt
nachgefragt 24.02.2023 um 10:41:44 Uhr
Goto Top
Zitat von @aqui:
Halte dich bei den Clients an die drei oben geposteten Tutorials für die Einrichtung.
Ja, ich wollte aber aus Bequemlichkeit nur PSK und Zertifikate meiden. Die Arbeit geht wohl nie aus face-wink Schönes WE
aqui
aqui 24.02.2023 aktualisiert um 10:46:16 Uhr
Goto Top
ich wollte aber aus Bequemlichkeit nur PSK und Zertifikate meiden.
Dann nimmst du halt L2TP statt IKEv2!! Wo ist dein wirkliches Problem? 😉
nachgefragt
nachgefragt 24.02.2023 um 11:03:32 Uhr
Goto Top
Zitat von @aqui:
Wo ist dein wirkliches Problem? 😉
Das Problem hatte ich einfach gelöst indem ich den Client gekauft hatte, Zeit ist bekanntlich Geld. Der läuft zuverlässig, der Kunde bleibt in deiner gewohnten Bubble.

Wenn ich die Zeit finde schau ich aber mal in deine Doku, aktuell sind andere Themen wichtiger.

Schönes WE.
aqui
aqui 24.02.2023 um 12:49:44 Uhr
Goto Top
Na ja, mit Geld kann man natürlich (fast) alles erschlagen. Man fragt sich nur dann immer nach dem tieferen Sinn warum alle Betriebssystem Anbieter immer gute VPN Clients umsonst mitliefern die sogar mehrere VPN Protokolle supporten und warum Anwender trotzdem weiter Geld verbrennen und mit externen Clients rumfrickeln. Diese Anwender Logik ist dann schwer zu verstehen!! face-wink
goscho
goscho 24.02.2023 um 15:45:45 Uhr
Goto Top
Zitat von @nachgefragt:

  • 10er Pack kostet inkl. Mwst 668€
Der Preis ist netto, zzgl. MWST - trotzdem ist Bechtle noch ca. 50 € günstiger als meine Distris

Zitat von @aqui:

Na ja, mit Geld kann man natürlich (fast) alles erschlagen. Man fragt sich nur dann immer nach dem tieferen Sinn warum alle Betriebssystem Anbieter immer gute VPN Clients umsonst mitliefern die sogar mehrere VPN Protokolle supporten und warum Anwender trotzdem weiter Geld verbrennen und mit externen Clients rumfrickeln. Diese Anwender Logik ist dann schwer zu verstehen!! face-wink
Ne, es gibt zumeist gute Gründe, um Tools von anderen Herstellern einzusetzen.

Bspw. nutze ich seit fast 10 Jahren den NCP-VPN-Client auf dem androiden Smartphone, der wesentlich besser ist, als der eingebaute von Android.
Auch das Exportieren von VPN-Konfigs auf ein neues Gerät ging so mit wenigen Schritten.

Ich kann überhaupt nicht verstehen, warum gerade du dich über solche Produkte beschwerst.
Diesen bringen zumeist einen Mehrwert, man muss diesen natürlich einzusetzen wissen.

Das liegt aber sicherlich auch daran, dass man bei Apfelgeräten fast nix außer den Herstellerprogrammen bekommt. face-wink
Uwe-Kernchen
Uwe-Kernchen 24.02.2023 um 20:19:41 Uhr
Goto Top
nutze ich seit fast 10 Jahren den NCP-VPN-Client auf dem androiden Smartphone, der wesentlich besser ist...

Dann suche schon mal nach was Neuem.
Der NCP-Client bleibt im persönlichen Store, wenn du ihn schon hast.
Neuinstallation auf neuem Handy klappt mit Warnung, aber ging bis jetzt.

Aber neu gibt es NCP-VPN (Gold oder Silber) seit Android 10(?) nicht mehr.
Ich vermisse ihn auch.
aqui
aqui 25.02.2023 aktualisiert um 10:16:00 Uhr
Goto Top
Warum diese unnütze Frickelei wenn man immer den onboard IKEv2 Client nutzen kann??
Bei Android ist es so oder so völlig unsinnig weil man sich den Klassiker "Strongswan Client" kostenlos aus dem Appstore runterladen kann dafür sollte ein onboard Client nicht verfügbar sein. (Was aber fast nie der Fall ist). iOS hat sie in allen Versionen immer an Bord plus L2TP VPN Client.
Wenn man denn meint unbedingt immer einen systemfremden und überflüssigen 3rd Party VPN Client nutzen zu müssen?!
goscho
goscho 28.02.2023 um 09:33:46 Uhr
Goto Top
Zitat von @Uwe-Kernchen:

nutze ich seit fast 10 Jahren den NCP-VPN-Client auf dem androiden Smartphone, der wesentlich besser ist...

Dann suche schon mal nach was Neuem.
Der NCP-Client bleibt im persönlichen Store, wenn du ihn schon hast.
Neuinstallation auf neuem Handy klappt mit Warnung, aber ging bis jetzt.
Danke für die Info.
Ich habe tatsächlich noch Android 10 auf meinem Smartphone und damit geht der NCP-Client bisher sehr gut.
Dann muss ich mich bald doch mal nach Alternativen umschauen. Du schlägst ja auf deiner Seite was vor.
Starmanager
Starmanager 01.03.2023 um 11:32:14 Uhr
Goto Top
Anstelle von den Lizenzen fuer die VPN Clients ist eine Fortigate als VPN Gateway preiswerter . Man hat lebenslang Zugriff auf die aktuellen Versionen des Clients und kann eine 2FA dazu kaufen.

Lancom finde ich sehr gut zwischen mehreren Standorten. Stabil und wenn die Leitung mal wegfaellt sofort wieder da.
aqui
aqui 01.03.2023 aktualisiert um 12:45:35 Uhr
Goto Top
Noch presiwerter ist die Nutzung einer OPNsense oder pfSense Firewall mit Nutzung der onbaord VPN Clients aller Endgeräte. Da zahlt man keinerlei Lizenzen oder andere Abgaben sondern rein nur die Hardware. Mit einem 270 Euro APU3 Kit hat man das ALLES mit einem schmalen Budget in max. 2 Stunden ALLES komplett am fliegen.
Einfacher und preiswerter gehts nicht!
Cisco 926 oder 1100 mit onboard SPI Firewall finde ich sehr gut zwischen mehreren Standorten. Stabil und wenn die Leitung mal wegfaellt sofort wieder da.
Juppeck01
Juppeck01 08.03.2023 um 11:29:57 Uhr
Goto Top
Zitat von @Looser27:

Moin,

ich werfe mal den freien OpenVPN-Client ins Rennen. Damit hatte ich nie Probleme.
Leider sagst Du nichts zum eigentlichen VPN.....

nach vielem Hin und Her sollte man homogen beim Hersteller bleiben

Wenn man Geld zuviel hat, kann man das machen.


Gruß

Looser

OpenVPN funtioniert sehr zuverlässig und dessen Konfiguration ist wahrlich kein Hexenwerk. Homogen ist immer ein guter Ansatz, aber dieser muss dann aber auch probat genug sein.
aqui
aqui 08.03.2023 aktualisiert um 12:25:14 Uhr
Goto Top
OpenVPN funtioniert sehr zuverlässig und dessen Konfiguration ist wahrlich kein Hexenwerk.
Ist aber bekanntlich wg. des fehlenden Multithreadings von der Performance her das Mieseste was man sich antun kann... face-sad WG und IPsec können das bekanntlich besser...
Looser27
Looser27 08.03.2023 um 12:36:46 Uhr
Goto Top
Braucht man zum Ausführen des Wireguard-Clients eigentlich immer noch Admin-Rechte?
Juppeck01
Juppeck01 09.03.2023 um 01:03:11 Uhr
Goto Top
Zitat von @aqui:

OpenVPN funtioniert sehr zuverlässig und dessen Konfiguration ist wahrlich kein Hexenwerk.
Ist aber bekanntlich wg. des fehlenden Multithreadings von der Performance her das Mieseste was man sich antun kann... face-sad WG und IPsec können das bekanntlich besser...

Bekannt ja, aber die Unterschiede sind kaum von praktischer Relevanz.
Use Case - Solche VPN-Verbindungen sind nicht als Highspeed-Datacenter Verbindungen gedacht. Es sind individuale VPN-Links zwischen dem Homeoffice und dem Datacenter.

Darüber laufen typischerweise keine Mission Critical Applikationen mit hohem line-load, sondern eine RDP, ICA oder andere Session, deren Anforderungen an die Leitungskapazität und Latzenzzeit geringer sind.

Mir ist jedenfalls niemand bekannt, der über so eine Verbindung, Filme rendert. Dafür kenne ich eine bekannte Menge User, die über so eine Verbindung aus dem Homeoffice aus täglich arbeiten. Wir haben im Schnitt etwas 3200 User auf 24h verteilt und aus allen Ecken der Welt, die mit ihren Notebooks, Tablets und Smartphones mit OPEN-VPN bei uns Einwählen und auf unserer Infrastruktur arbeiten. Wenn es da mal langsamer wird, ist es mehr dem "Layer 1" zuzuordnen.

Und, so langsam kann Open VPN nicht sein, denn wir telefonieren auch drüber und dass ohne Artefakte oder gar Abrisse, während die Key-Accounter in den USA im ERP-System aktiv sind.
aqui
aqui 09.03.2023 aktualisiert um 09:05:18 Uhr
Goto Top
Na ja, zum Telefonieren sind mac 64kBit/s nötig. Dafür reicht auch ein feuchter Bindfaden und auch so eine lahme Krücke wie OpenVPN allemal.
Warum man aber immer noch mit überflüssigen extra VPN Clients rumfrickeln muss wenn man alles einfacher onboard per IKEv2 oder L2TP lösen kann entzieht sich weiter jeder Logik. Aber egal...
Juppeck01
Juppeck01 10.03.2023 um 01:35:00 Uhr
Goto Top
Du hast scheinbar einen völlig anderen, mehr idealistischen Scope auf die Dinge. Ich meine dies nicht irgendwie abwertend; um nicht missverstanden zu werden.

Die mieseste Lösung stellt der OpenVPN-Client nicht dar - dies war ja Deine Kernkritik.

Mich stört an Deiner unterschwelligen Kritik eigentlich nur, dass Dir offensichtlich ignorierst, dass es auch andere Rahmenbedingungen und Maßstäbe gibt, die durchaus sinnvoll, jedoch nicht offenkundig sind.
In kommerziellen Umgebungen werden die Dinge sehr oft nicht vollständig ausgenutzt oder die gerade beste Lösung genutzt, sondern die Lösung bevorzugt, die gerade am besten Matched.
Lösungen müssen nur ausreichend sein um das gesteckte Ziel zu erreichen. Sie müssen nicht ideal sein. Zwischen ausreichend und ideal liegt ein erheblicher Mehraufwand an Mitteln und Zeit. Wenn dadurch kein Mehrwert zu erreichen oder gar nicht nützlich ist, warum dann das Ideal anstreben?

Der Scope macht den Unterschied. Privat dem Ideal zu folgen ist nicht verwerflich, aber es ist eben ein völlig andere use-Case.

Von Rumfrikeln schreibst Du - ich fummel nicht rum, sondern nutze fertige Lösungen.

Egal ist es also nicht und es entzieht sich auch nicht "jeder", sondern nur deiner Logik.