127103
25.11.2016, aktualisiert um 12:18:58 Uhr
3432
8
0
Open SSL VPN - Usability mit Win10
Hallo Forum,
Ich möchte einen VPN-Tunnel möglichst Benutzerfreundlich etablieren.
Ziel/Server ist eine Sophos UTM. Aktuell wird Open-SSL-VPN mittels Client-Software händisch verbunden.
Da Win10 auf Surface-Clonen zum Einsatz kommt, wollte ich den Formvorteil der Geräte nicht direkt wieder durch mühsames Passwort eintippen ad absurdum führen...
Windows10 kann kein Open-VPN. Ich vermute das ist ein "Lizenz-Problem" und gar kein technisches, wenn's jemand weiß gerne sagen...
Was würdet ihr machen? Für die neuen Geräte "L2TP over IPSec" auf der Sophos sowie Win10 einrichten. Würde bedeuten dass ggf. neue Ports aufgemacht werden müssen, Einrichtung usw. überschaubar. Dann könnte der User sich aber mit einem Klick verbinden.
Oder alternativ die nerdige Variante. Ein Script schreiben welches den VPN-Client von Sophos ohne Gui startet und die Userconfig zieht. (wie hier beschrieben: http://networkguy.de/?p=1086)
Hat einen enormen Haken. Man müsste für die Anmeldeinformationen Passwort und Username in eine Text-Datei legen, bzw. das dann wieder verschlüsseln usw. ggf. PS cmdlets besorgen welche dies automatisch erledigen (wie hier: https://tobivnext.wordpress.com/2012/06/18/powershell-cmdlet-zum-auslese ... )
Was würdet ihr machen? Ist L2TP/IPSec sicher und performant genug?
Sollte man den "Script-Weg" gehen und somit die VPN-Anmeldung eventuell sogar vollständig automatisieren, ala Ping auf Home-Gateway = False -> VPN-etablieren o.Ä....?
Gibt es komplett andere Ideen welche ich übersehen habe?
Danke & Gruß c
Ich möchte einen VPN-Tunnel möglichst Benutzerfreundlich etablieren.
Ziel/Server ist eine Sophos UTM. Aktuell wird Open-SSL-VPN mittels Client-Software händisch verbunden.
Da Win10 auf Surface-Clonen zum Einsatz kommt, wollte ich den Formvorteil der Geräte nicht direkt wieder durch mühsames Passwort eintippen ad absurdum führen...
Windows10 kann kein Open-VPN. Ich vermute das ist ein "Lizenz-Problem" und gar kein technisches, wenn's jemand weiß gerne sagen...
Was würdet ihr machen? Für die neuen Geräte "L2TP over IPSec" auf der Sophos sowie Win10 einrichten. Würde bedeuten dass ggf. neue Ports aufgemacht werden müssen, Einrichtung usw. überschaubar. Dann könnte der User sich aber mit einem Klick verbinden.
Oder alternativ die nerdige Variante. Ein Script schreiben welches den VPN-Client von Sophos ohne Gui startet und die Userconfig zieht. (wie hier beschrieben: http://networkguy.de/?p=1086)
Hat einen enormen Haken. Man müsste für die Anmeldeinformationen Passwort und Username in eine Text-Datei legen, bzw. das dann wieder verschlüsseln usw. ggf. PS cmdlets besorgen welche dies automatisch erledigen (wie hier: https://tobivnext.wordpress.com/2012/06/18/powershell-cmdlet-zum-auslese ... )
Was würdet ihr machen? Ist L2TP/IPSec sicher und performant genug?
Sollte man den "Script-Weg" gehen und somit die VPN-Anmeldung eventuell sogar vollständig automatisieren, ala Ping auf Home-Gateway = False -> VPN-etablieren o.Ä....?
Gibt es komplett andere Ideen welche ich übersehen habe?
Danke & Gruß c
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322094
Url: https://administrator.de/contentid/322094
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Ich würde es blöd finden, wenn die VPN Verbindung ohne autentifizierung ablaufen würde, Tablet geklaut und schon im Netz...
Gruß
Chonta
Windows10 kann kein Open-VPN.
Also die freie Version läuft. wollte ich den Formvorteil der Geräte nicht direkt wieder durch mühsames Passwort eintippen ad absurdum führen...
Hä?Ich würde es blöd finden, wenn die VPN Verbindung ohne autentifizierung ablaufen würde, Tablet geklaut und schon im Netz...
Gruß
Chonta
Hi Chonta,
Ja mit VPN-Client, es ging um Boardmittel.
Ich würde es blöd finden, wenn die VPN Verbindung ohne autentifizierung ablaufen würde, Tablet geklaut und schon im Netz...
Ich weiß was du meinst. Ist vollkommen richtig!
Das wäre aber bei "L2TP over IPSec" das gleiche Problem wenn ich User & Passwort hinterlege. Dann eben nur den User-Namen.
Vorteil seh ich bei den Boardmitteln in der Bedienung.
btw. Tablet müsste man ja erstmal entsperren...
Ja mit VPN-Client, es ging um Boardmittel.
wollte ich den Formvorteil der Geräte nicht direkt wieder durch mühsames Passwort eintippen ad absurdum führen...
Hä?Ich würde es blöd finden, wenn die VPN Verbindung ohne autentifizierung ablaufen würde, Tablet geklaut und schon im Netz...
Ich weiß was du meinst. Ist vollkommen richtig!
Das wäre aber bei "L2TP over IPSec" das gleiche Problem wenn ich User & Passwort hinterlege. Dann eben nur den User-Namen.
Vorteil seh ich bei den Boardmitteln in der Bedienung.
btw. Tablet müsste man ja erstmal entsperren...
btw. Tablet müsste man ja erstmal entsperren...
Sicher ist ein Computer, gleich welcher, nur dann, wenn er aus und vollverschlüsselt ist, bis man ihn einschaltet 
es ging um Boardmittel.
Da bleibt nur ipsec mit l2tp. Entweder macht der Router/Firewall den Tunnel oder Portweiterleitungen zum VPN-Server sind notwendig.Ja mit VPN-Client
Kann man ja installieren 
das gleiche Problem wenn ich User & Passwort hinterlege
Bei komplett Boardmitteln ohne Drittanbietersoftware ja.Fingerprint oder Yubikey könnte man da noch zwischenschieben.
Gruß
Chonta
VPN Open-SSL mit Client läuft ja schon. Fingerprint hat das Tablet nicht.
Langsam stell ich den Formfaktor in Frage. Da ist man doch mit einem normalen Laptop besser bedient.
Yubikey kostet Geld.
Wie siehts denn mit nem Smartphone als 2. Faktor aus?
grüße c
Langsam stell ich den Formfaktor in Frage. Da ist man doch mit einem normalen Laptop besser bedient.
Yubikey kostet Geld.
Wie siehts denn mit nem Smartphone als 2. Faktor aus?
grüße c
Langsam stell ich den Formfaktor in Frage. Da ist man doch mit einem normalen Laptop besser bedient.
Kommt auf den Anwendungsfall an kostet Geld.
Dann las es wie es jetzt ist Gruß
Chonta
Hast du das hier schon gesehen?
Ich würde an deiner stelle den Sophos VPN Client gegen den von OpenVPN (also ohne Branding) eintauschen. Der lässt sich als Service installieren und lief zumindest bei SecurePoint besser als der von denen.
Ich würde an deiner stelle den Sophos VPN Client gegen den von OpenVPN (also ohne Branding) eintauschen. Der lässt sich als Service installieren und lief zumindest bei SecurePoint besser als der von denen.
Wenn Du OTP willst - schau mal hier:
https://community.sophos.com/kb/de-de/120324
https://www.klehr.de/michael/sophos-utm-9-2-mit-one-time-password-otp-mi ...
.. geht auch für VPN.
https://community.sophos.com/kb/de-de/120324
https://www.klehr.de/michael/sophos-utm-9-2-mit-one-time-password-otp-mi ...
.. geht auch für VPN.
Hey.
wenn ihr ein Active Directory habt könntest Du den User auch per AD authentifizieren, dann benötigt er nur sein AD User und Passwort.
Grüße
wenn ihr ein Active Directory habt könntest Du den User auch per AD authentifizieren, dann benötigt er nur sein AD User und Passwort.
Grüße
