127103
Goto Top

Open SSL VPN - Usability mit Win10

Hallo Forum,

Ich möchte einen VPN-Tunnel möglichst Benutzerfreundlich etablieren.
Ziel/Server ist eine Sophos UTM. Aktuell wird Open-SSL-VPN mittels Client-Software händisch verbunden.
Da Win10 auf Surface-Clonen zum Einsatz kommt, wollte ich den Formvorteil der Geräte nicht direkt wieder durch mühsames Passwort eintippen ad absurdum führen...

Windows10 kann kein Open-VPN. Ich vermute das ist ein "Lizenz-Problem" und gar kein technisches, wenn's jemand weiß gerne sagen...

Was würdet ihr machen? Für die neuen Geräte "L2TP over IPSec" auf der Sophos sowie Win10 einrichten. Würde bedeuten dass ggf. neue Ports aufgemacht werden müssen, Einrichtung usw. überschaubar. Dann könnte der User sich aber mit einem Klick verbinden.

Oder alternativ die nerdige Variante. Ein Script schreiben welches den VPN-Client von Sophos ohne Gui startet und die Userconfig zieht. (wie hier beschrieben: http://networkguy.de/?p=1086)
Hat einen enormen Haken. Man müsste für die Anmeldeinformationen Passwort und Username in eine Text-Datei legen, bzw. das dann wieder verschlüsseln usw. ggf. PS cmdlets besorgen welche dies automatisch erledigen (wie hier: https://tobivnext.wordpress.com/2012/06/18/powershell-cmdlet-zum-auslese ... )

Was würdet ihr machen? Ist L2TP/IPSec sicher und performant genug?
Sollte man den "Script-Weg" gehen und somit die VPN-Anmeldung eventuell sogar vollständig automatisieren, ala Ping auf Home-Gateway = False -> VPN-etablieren o.Ä....?

Gibt es komplett andere Ideen welche ich übersehen habe?

Danke & Gruß c

Content-ID: 322094

Url: https://administrator.de/contentid/322094

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

Chonta
Chonta 25.11.2016 um 12:27:38 Uhr
Goto Top
Hallo,

Windows10 kann kein Open-VPN.
Also die freie Version läuft.

wollte ich den Formvorteil der Geräte nicht direkt wieder durch mühsames Passwort eintippen ad absurdum führen...
Hä?
Ich würde es blöd finden, wenn die VPN Verbindung ohne autentifizierung ablaufen würde, Tablet geklaut und schon im Netz...

Gruß

Chonta
127103
127103 25.11.2016 aktualisiert um 12:44:16 Uhr
Goto Top
Hi Chonta,

Zitat von @Chonta:
Windows10 kann kein Open-VPN.
Also die freie Version läuft.

Ja mit VPN-Client, es ging um Boardmittel.


wollte ich den Formvorteil der Geräte nicht direkt wieder durch mühsames Passwort eintippen ad absurdum führen...
Hä?
Ich würde es blöd finden, wenn die VPN Verbindung ohne autentifizierung ablaufen würde, Tablet geklaut und schon im Netz...

Ich weiß was du meinst. Ist vollkommen richtig!
Das wäre aber bei "L2TP over IPSec" das gleiche Problem wenn ich User & Passwort hinterlege. Dann eben nur den User-Namen.
Vorteil seh ich bei den Boardmitteln in der Bedienung.

btw. Tablet müsste man ja erstmal entsperren...
Chonta
Lösung Chonta 25.11.2016 um 12:59:25 Uhr
Goto Top
btw. Tablet müsste man ja erstmal entsperren...
Sicher ist ein Computer, gleich welcher, nur dann, wenn er aus und vollverschlüsselt ist, bis man ihn einschaltet face-smile

es ging um Boardmittel.
Da bleibt nur ipsec mit l2tp. Entweder macht der Router/Firewall den Tunnel oder Portweiterleitungen zum VPN-Server sind notwendig.

Ja mit VPN-Client
Kann man ja installieren face-wink

das gleiche Problem wenn ich User & Passwort hinterlege
Bei komplett Boardmitteln ohne Drittanbietersoftware ja.
Fingerprint oder Yubikey könnte man da noch zwischenschieben.

Gruß

Chonta
127103
127103 25.11.2016 um 13:19:43 Uhr
Goto Top
VPN Open-SSL mit Client läuft ja schon. Fingerprint hat das Tablet nicht.
Langsam stell ich den Formfaktor in Frage. Da ist man doch mit einem normalen Laptop besser bedient.

Yubikey kostet Geld. face-smile

Wie siehts denn mit nem Smartphone als 2. Faktor aus?

grüße c
Chonta
Lösung Chonta 25.11.2016 um 14:05:12 Uhr
Goto Top
Langsam stell ich den Formfaktor in Frage. Da ist man doch mit einem normalen Laptop besser bedient.
Kommt auf den Anwendungsfall an face-smile

kostet Geld.
Dann las es wie es jetzt ist face-smile

Gruß

Chonta
agowa338
Lösung agowa338 26.11.2016 aktualisiert um 07:16:09 Uhr
Goto Top
Hast du das hier schon gesehen?

Ich würde an deiner stelle den Sophos VPN Client gegen den von OpenVPN (also ohne Branding) eintauschen. Der lässt sich als Service installieren und lief zumindest bei SecurePoint besser als der von denen.
Skully
Lösung Skully 28.11.2016 um 12:17:27 Uhr
Goto Top
Skully
Skully 28.11.2016 aktualisiert um 12:38:26 Uhr
Goto Top
Hey.
wenn ihr ein Active Directory habt könntest Du den User auch per AD authentifizieren, dann benötigt er nur sein AD User und Passwort.
Grüße