networkuser
Goto Top

PeerVPN - Welche Verschlüsselung (Ggf. Alternativen fuer Mesh-VPNs?)

Moin Zusammen,

ich bin derzeit auf der Suche nach einem guten Mesh-VPN. Leider bietet dies meine "Lieblings-VPN-Software" OpenVPN diese Funktion nicht.

Ich bin daher auf folgendes Tool gestoßen: PeerVPN www.peervpn.net https://github.com/peervpn/peervpn

Mit peerVPN lassen sich wunderbar mehrere Server zu einem "vermaschten" Netzwerk zusammenschließen. Theoretisch ideal, um damit ein sicheres Netz zwischen mehreren Servern aufzubauen.

Nun jedoch meine - man möchte meinen simple - Frage: Was für eine Verschlüsselung nutzt PeerVPN?

Ich habe weder auf der offiziellen Seite des Projektes, noch auf anderen Seiten etwas genaues dazu gefunden. Vielleicht sehe ich den Wald vor lauter Bäumen auch nicht mehr. face-wink

Daher: Ich bin jedem dankbar, der (versucht) mir den "richtigen Baum im Wald" zu zeigen. face-wink

Nebenbei: Solltet ihr andere, bessere, sicherere Alternativen zu peerVPN kennen, freue ich mich darüber ebenfalls zu fachsimpeln. face-wink

Besten Dank und Gruß
NetworkUser

Content-ID: 388667

Url: https://administrator.de/forum/peervpn-welche-verschluesselung-ggf-alternativen-fuer-mesh-vpns-388667.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

Dani
Dani 06.10.2018 um 17:12:05 Uhr
Goto Top
Hallo NetworkUser,
hier ein Querverweis, wo das Thema erläutert wird.


Gruß,
Dani
129580
129580 06.10.2018 aktualisiert um 17:24:05 Uhr
Goto Top
Hallo,

Nun jedoch meine - man möchte meinen simple - Frage: Was für eine Verschlüsselung nutzt PeerVPN?

Hab mal kurz in den Code geschaut. Ist wohl ein SSL VPN, dass für Crypto AES256 und als Hash SHA256 verwendet. Allerdings hat das Projekt wirklich keine Dokumentation. Ebenso gibt es auf Github keine README. Und der letzte Commit war am Mar 22, 2016. Sieht für mich eher nach einem Hobbyprojekt von einem Entwickler aus. Ich würde mir das gut überlegen, ob ich sowas wirklich produktiv in einer Firmen Infrastruktur verwenden möchte, denn scheinbar tut sich da auch nichts mehr von Seiten der Entwickler. Außer du hast genügend Kenntnisse in C(++) und bist auch in der Lage diese Software weiter zu pflegen.

Edit:
Hab mal selber kurz gegoogelt. Mit diesem VPN Daemon kannst du das auch realisieren. Nur wird das Projekt gepflegt und hat eine professionelle, gepflegte Dokumentation.

https://www.tinc-vpn.org

Und ein Tutorial gibts auch dazu:
https://stacksetup.com/VPN/UsingTinc

Viele Grüße,
Exception
Spirit-of-Eli
Spirit-of-Eli 06.10.2018 um 17:30:03 Uhr
Goto Top
Moin,

teste mal Tinc oder Wireguard.

Gruß
Spirit
NetworkUser
NetworkUser 06.10.2018 um 17:49:59 Uhr
Goto Top
Hallo,

danke für so schnelles Feedback. face-smile

@129580: Ja, das Alter des letzten Release und die Tatsache, dass die Doku nicht vorhanden ist, gibt mir auch zu denken. Fit in C(++) bin ich leider nicht. face-wink

Über Tinc bin ich ebenfalls gestolpert und finde es sehr interessant, hier frage ich mich jedoch auch wie es mit dem Thema Security aussieht, da auf der Seite des Projektes von "Known security issues" in der aktuellen Stable die Rede ist https://www.tinc-vpn.org/security

Wie ist da deine / eure Einschaetzung? Gerade in einer produktiven Umgebung sollte es gut überlegt sein, da gebe ich dir recht.

Wireguard schaue ich mir gerade an. Sieht sehr, sehr interessant und ausgereift (wenn auch noch in Entwicklung) aus.

Ich suche ein Produkt, bei deren Verwendung ich nachts noch ruhig schlafen kann. face-wink

Gruß
NetworkUser
Spirit-of-Eli
Spirit-of-Eli 06.10.2018 aktualisiert um 18:02:37 Uhr
Goto Top
Kurz um,

Tinc habe ich kurz getestet. Funktionieren tut es super. Bezüglich Sicherheit habe ich mich noch nicht näher schlau gemacht.
Allerdings gibt es hier zu auch ein Package bei der PfSense. Wird glaub ich aber nicht wirklich voran gebracht, oder?

Wireguard konnte ich noch nicht wirklich testen. Hier soll es einen großen Performance Vorteil geben.
Was an der Stelle (Erfüllt aktuelle Sicherheitsstandards) heiß, kann ich nur schwer beurteilen.
Wie es hier um die Sicherheit bestellt ist kann ich leider aus dem Stehgreif auch nicht sagen.
aqui
aqui 06.10.2018 aktualisiert um 19:50:29 Uhr
Goto Top
Was für eine Verschlüsselung nutzt PeerVPN?
https://lauri.võsandi.com/lan/peervpn.html
Eine vermaschte VPN Struktur kannst du problemlos mit IPsec aufbauen, allerdings skaliert das bei höheren Anzahlen von Standorten nicht so, da du ja von jedem Punkt zu jedem Punkt einen Tunnel eröffnen musst.
Klappt aber fehlerlos bei kleineren Standort Zahlen.
Generell kann man ein vermaschtes Design auch über eine Stern Struktur abbilden, bedingt dann aber das einige Tunnel doppelten Traffic bekommen.
Von Cisco gibt es ein sehr effizientes VPN Verfahren das die vermaschten Links nur dann dynamsich öffnet wenn auch Traffic dafür da ist:
https://www.cisco.com/c/en/us/products/security/dynamic-multipoint-vpn-d ...
Erfordert aber Cisco Hardware.
NetworkUser
NetworkUser 06.10.2018 um 20:47:11 Uhr
Goto Top
Ich habe mir Wireguard nun intensiver angesehen und es ist derzeit zu meinem Favoriten aufgestiegen. face-wink

Da ich mich aber noch etwas schwer tue bzgl. des aktuell nicht fertigen Entwicklungsstandes, bin ich weiterhin offen für neues und schaue mich noch weiter um. Wenn es sich jedoch ergibt, dass dies die aktuell beste Variante ist, werde ich dieses Tool einsetzen.

@aqui: Cisco Hardware kommt in diesem Fall nicht in Frage. Es handelt sich um ubuntu 16.04 Hosts, welche untereinander via VPN verbunden werden sollen. Da du schreibst, es sei mit IPSec "problemlos" möglich eine solche Struktur aufzubauen: Kannst du mir dazu gute Anleitungen / HowTos nennen, mit denen ich mich einarbeiten kann?

Leider finde ich gerade zum Thema IPSec wenige - für in diesem Bereich nicht so erfahrene Admins - geeignete Anleitungen / HowTos / Erklärungen für einen einfachen Einstieg.

Vielen Dank & Schönen Abend allerseits
NetworkUser
Spirit-of-Eli
Spirit-of-Eli 06.10.2018 um 20:50:53 Uhr
Goto Top
Ich kann deine Bedenken gut verstehen. Ich warte derzeit auch darauf das ein final release von Wireguard erscheint.

Raten würde ich dir erstmal noch zum altbewerten IPsec. Auch obwohl der Overhead größer und ohne entsprechender Hardware der flow langsamer ist.
NetworkUser
NetworkUser 06.10.2018 um 23:21:17 Uhr
Goto Top
Bei meiner Recherche bin ich auf FreeLAN gestoßen: http://www.freelan.org/

Das sieht ziemlich gut aus und wird sogar noch aktuell gepflegt (Letztes Update vor 21 Tagen).

Ich habe auch nichts gefunden in Richtung "Security Issue / Beta / In development" oder dergleichen.

Aus meiner Sicht sieht es solide und für den Produtkiveinsatz geeignet aus.

Habt ihr eventuell Erfahrungen damit gemacht oder andere Meinungen?

@Spirit-of-Eli: Ja, wenn auch FreeLAN keine alternative darstellen sollte, werde ich mir die Zeit nehmen und mich in IPSec einarbeiten. Gehe da jedoch noch mit Respekt dran, da die Konfig alles andere als trivial erscheint. face-wink

Gruß
NetworkUser
Spirit-of-Eli
Spirit-of-Eli 06.10.2018 um 23:47:13 Uhr
Goto Top
Doch, wenn du verstand hast wie die Grundlagen sind, wird dir das leicht fallen.

Stell nen Tunnel her und Bau darauf die subnetzthematik.
aqui
aqui 07.10.2018 aktualisiert um 10:13:45 Uhr
Goto Top
und mich in IPSec einarbeiten....
Damit liesse sich das im Handumdrehen lösen...
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit einer Handvoll von ein paar 35 Euro Mikrotik Routern
https://varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r2-he ...
ist das im Handumdrehen erledigt.
http://gregsowell.com/?download=5687
Wenn du dann über die VPN Tunnel noch dynamisch routest mit RIPv2 oder OSPF hast du ein Mesh VPN de Luxe...
NetworkUser
NetworkUser 13.10.2018 um 11:43:09 Uhr
Goto Top
Hey Zusammen,

die letzte Woche war/ist sehr stressig... daher meine späte Rückmeldung:

@aqui: Vielen Dank für die Linksammlung. Jetzt verstehe ich IPSec ein großes Stück mehr. face-smile

Während meiner weiteren Recherche und Überlegungen, habe ich folgende Idee entwickelt, bei der mich eure Meinung interessieren würde:

Es gibt in openVPN ja zum einen die TAP-Devices und zum anderen den P2P Mode. In meiner Gedankenwelt habe ich dadurch folgendes Konstrukt zusammengesetzt:

adm_de_networkuser_vpn_mesh

Durch diese Netzwerktopologie würde ich ein großes, privates Subnetz erhalten und wenn ein Node ausfällt, würde der Traffic weiterhin direkt zu den anderen Knoten laufen. Somit hätte ich ein voll vermaschtes VPN mit openVPN realisiert.

Spricht aus eurer Erfahrung etwas gegen diese Lösung?

Beste Grüße,
NetworkUser
aqui
aqui 13.10.2018 um 12:09:24 Uhr
Goto Top
TAP ist ein sehr schlechter Ansatz. Sogar das OpenVPN Whitepaper rät dringenst davon ab sofern man es nicht wirklich unbedingt machen muss !
Der Grund ist klar: Durch das Bridging Verfahren wird sämtlicher Broad- und Multicast Traffic ALLER 3 Netze in den VPN Tunnel geschickt.
Dadurch das der Tunnel prinzipienbedingt durch den WAN Link eine erheblich geringere Bandbreite hat als die lokalen LANs kumuliert dieser Traffic hier und belastet die Performance des Tunnels erheblich.
Dein Durchsatz sinkt damit dramatisch was bis zum Tunnelabbruch führen kann.
Es gilt wie immer die goldene Netzwerker Regel: "Route where you can, bridge where you must !"
Es spricht also ziemlich viel gegen diese Lösung.
Die Frage ist warum du nicht ein sternförmiges OVPN Netz oder IPsec Netz aufbaust und darüber routest. Das bildet dir ein vollvermaschtes Netz auf einer Sternstruktur ab.
Mit IPsec könntest du sogar komplett vollvermascht agieren wenn du nicht allzu viele Standort hast !
Wenn dann mach es richtig und keine Frickelei !