6
Zerotier bei Kundenprojekten
Hallo,
ich würde bei einem kleineren Projekt mit einem W10 "Server" mit einem Netzwerkdrucker auf ZT setzen statt auf OpenVPN.
Ein Teil der Mitarbeiter arbeiten im Homeoffice hinter Ihren DSL Anschluss, der Rest im Büro.
Gründe:
- Performance soll besser sein.
- Netzwerk ist leichter zu managen
- Ist leichter weitere Mitarbeiter ins Netz aufzunehmen
Setzt jemand ZT kommerziell ein?
Wie sind die Erfahrungen so alles in Allem?
Gab es schon Problemfälle? War der ZT Support "responsive"?
Vielen Dank.
Gr. I.
ich würde bei einem kleineren Projekt mit einem W10 "Server" mit einem Netzwerkdrucker auf ZT setzen statt auf OpenVPN.
Ein Teil der Mitarbeiter arbeiten im Homeoffice hinter Ihren DSL Anschluss, der Rest im Büro.
Gründe:
- Performance soll besser sein.
- Netzwerk ist leichter zu managen
- Ist leichter weitere Mitarbeiter ins Netz aufzunehmen
Setzt jemand ZT kommerziell ein?
Wie sind die Erfahrungen so alles in Allem?
Gab es schon Problemfälle? War der ZT Support "responsive"?
Vielen Dank.
Gr. I.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389590
Url: https://administrator.de/contentid/389590
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Bei sowas ist immer die Kardinalsfrage: Wer hat die Schlüssel fürs VPN generiert ??
Bekommst du die vom Dienstleister ist das für Firmennetze einsofortige NoGo, denn dann kannst du sicher sein das die Daten nicht sicher sind und der Dienstleister diese Schlüssel weitergibt.
Auch für Heimanwender wäre sowas ein NoGo, jedenfalls wem seine Privatsphäre und Datensicherheit etwas wert ist !
Mit OpenVPN ist das nie einen Frage. Da hast du die Hoheit über deine Schlüssel und bist sicher !
Solche grundlegenden Dinge sagt einem ja auch schon der gesunde Menschen(Security)verstand !
Bekommst du die vom Dienstleister ist das für Firmennetze einsofortige NoGo, denn dann kannst du sicher sein das die Daten nicht sicher sind und der Dienstleister diese Schlüssel weitergibt.
Auch für Heimanwender wäre sowas ein NoGo, jedenfalls wem seine Privatsphäre und Datensicherheit etwas wert ist !
Mit OpenVPN ist das nie einen Frage. Da hast du die Hoheit über deine Schlüssel und bist sicher !
Solche grundlegenden Dinge sagt einem ja auch schon der gesunde Menschen(Security)verstand !
Hi Aqui,
ja, keinen eigenen Schlüssel zu benützen hört sich schlecht an. Ich denke allerdings, dass es in der Praxis nicht gefährlich ist, WENN es sauber implementiert wurde:
Vorteile von Zerotier kurz zusammengefasst:
https://blog.ecapuano.com/build-a-private-mesh-network-for-free/
Bei ZeroTier soll der private Schlüssel auf dem Gerät bleiben:
"The private key is stored on the device, public keys are used to negotiate the connection and to cipher the content with a 256-bit Salsa20 stream cipher with Poly1305 authentication."
Da auch der Netzwerkcontroller opensource sind hat der User die Möglichkeit von dem Anbieter völlig unabhängige Netze zu betreiben. In diesem Fall hat man die Schlüssel mit den entsprechenden Risiken:
"Controller Security Considerations
Network controllers serve as certificate authorities for ZeroTier virtual networks. As such, their identity.secret files should be guarded closely and backed up securely. Compromise of a controller's secret key would allow an attacker to issue fraudulent network configurations or admit unauthorized members, while loss of the secret key results in loss of ability to control the network in any way or issue configuration updates and effectively renders the network unusable.
It is important that controllers' system clocks remain relatively accurate (to within 30-60 seconds) and that they are secure against remote tampering. Many cloud providers provide secure time sources either directly via the hypervisor or via NTP servers within their networks."
Die Client müssen also nicht unbedingt ans System des Anbieter "ZeroTier" angedockt sein. Wenn jemand sich also die Mühe macht und die entsprechenden Root und Controller-Instanzen betreibt, kann ein völlig autarkes System betreiben.
ja, keinen eigenen Schlüssel zu benützen hört sich schlecht an. Ich denke allerdings, dass es in der Praxis nicht gefährlich ist, WENN es sauber implementiert wurde:
Vorteile von Zerotier kurz zusammengefasst:
https://blog.ecapuano.com/build-a-private-mesh-network-for-free/
Bei ZeroTier soll der private Schlüssel auf dem Gerät bleiben:
"The private key is stored on the device, public keys are used to negotiate the connection and to cipher the content with a 256-bit Salsa20 stream cipher with Poly1305 authentication."
Da auch der Netzwerkcontroller opensource sind hat der User die Möglichkeit von dem Anbieter völlig unabhängige Netze zu betreiben. In diesem Fall hat man die Schlüssel mit den entsprechenden Risiken:
"Controller Security Considerations
Network controllers serve as certificate authorities for ZeroTier virtual networks. As such, their identity.secret files should be guarded closely and backed up securely. Compromise of a controller's secret key would allow an attacker to issue fraudulent network configurations or admit unauthorized members, while loss of the secret key results in loss of ability to control the network in any way or issue configuration updates and effectively renders the network unusable.
It is important that controllers' system clocks remain relatively accurate (to within 30-60 seconds) and that they are secure against remote tampering. Many cloud providers provide secure time sources either directly via the hypervisor or via NTP servers within their networks."
Die Client müssen also nicht unbedingt ans System des Anbieter "ZeroTier" angedockt sein. Wenn jemand sich also die Mühe macht und die entsprechenden Root und Controller-Instanzen betreibt, kann ein völlig autarkes System betreiben.
Setzt jemand ZT kommerziell ein?
Wie sind die Erfahrungen so alles in Allem?
Gab es schon Problemfälle? War der ZT Support "responsive"?
Vielen Dank.
Gr. I.
Wie sind die Erfahrungen so alles in Allem?
Gab es schon Problemfälle? War der ZT Support "responsive"?
Vielen Dank.
Gr. I.
Hallo Gr. I.
Ich verwende ZeroTier privat wie auch für Firmen aber eher im KMU Bereich wo es unter 25 Endpoints gibt.
Das Hauptproblem ist, dass der Preis ziemlich hoch ist sobald man das free tier überschreitet. Es gibt auch hin und wieder (abhängig von der installierten ZeroTier Version) auf Windows ein Problem mit der Verbindung, wobei der Dienst läuft aber sich sich nicht sauber verbindet und nur durch einen Dienst Neustart lösen lässt.
Ich habe damals dieses Problem per GitHub an Dug (der Inhaber und Haupt Entwickler) gemeldet und er hat dann auch auf eine zukünftige Version verwiesen.
Das Problem scheint hin und wieder auf zu tauchen, vor allem wenn die Internet Verbindung per Mobile Data bzw 4 oder 5g erfolgt.
Die alternative Tailscale oder Netbird ist da etwas im Vorteil, wobei es auch bei denen Nachteile gibt wie z.B. die Authentifizierung bei ZeroTier erfolgt nur das erste mal per client und dann wird eigentlich alles von der Cloud aus gemanaged.
Bei Tailscale fällt das Login manchmal aus je nachdem wie es eingerichtet wurde.
Es gibt noch mehrere andere Unterschiede, aber grundsätzlich besteht der Unterschied darin, dass Tailscale und Netbird auf dem Wireguard Protokoll basieren, während ZeroTier ein anderes verwendet.
Zerotier ist meiner Meinung nach auch etwas sicherer und dezentralisierter.....
Das wirkliche Hauptproblem ist das es kein eigenes VPN ist, sondern das von Fremden auf einer fremden, nicht offenen Infrastruktur. In der Regel von Betreibern im nicht EU Ausland. Was das datentechnisch bedeutet muss man sicher nicht näher erklären. Ein fahrlässiges NoGo und ganz besonders in Firmennetzen die dann vermutlich auch noch persönliche Daten transportieren. Ein schmaler Grat auf dem man ganz schnell angreifbar wird (DSGVO).
Warum man ein einfaches und banales Mitarbeiter VPN auch mit der OpenVPN Frickelei und externer VPN Software löst erschliesst sich nicht wirklich. Zudem das etwas in die Jahre gekommene OpenVPN ja hinreichend bekannt ist für seine schlechte Skalierbarkeit.
Jede nur halbwegs gute Firewall oder VPN Router supporten heute die auf allen Endgeräten vorhandenen Standard VPN Clients (IKEv2 und L2TP) über die eine eh schon vorhandene zentrale Userverwaltung und Clienteinrichtung mit wenigen Mausklicks schnell und problemlos möglich ist. Auch im hiesigen Forum wird man dazu fündig.
Das so eine VPN Lösung dann auch unter eigener Hoheit bleibt muss man sicher nicht extra betonen.
Warum man ein einfaches und banales Mitarbeiter VPN auch mit der OpenVPN Frickelei und externer VPN Software löst erschliesst sich nicht wirklich. Zudem das etwas in die Jahre gekommene OpenVPN ja hinreichend bekannt ist für seine schlechte Skalierbarkeit.
Jede nur halbwegs gute Firewall oder VPN Router supporten heute die auf allen Endgeräten vorhandenen Standard VPN Clients (IKEv2 und L2TP) über die eine eh schon vorhandene zentrale Userverwaltung und Clienteinrichtung mit wenigen Mausklicks schnell und problemlos möglich ist. Auch im hiesigen Forum wird man dazu fündig.
Das so eine VPN Lösung dann auch unter eigener Hoheit bleibt muss man sicher nicht extra betonen.
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
