OpenVPN auf Synology DS212j

[Niemand2006]

Hallo zusammen,

ich habe mal eine Frage zu den OpenVPN.

Wie schaut es denn da mit der sicherheit aus.

Also Verschlüsselung usw?

Ist diese ausreichend Start das niemand die Verbindung knacken kann?

MfG

Niemand2006

 

[jahlives]

definiere niemand und definiere die zur Verfügung stehende Rechenpower
Jede Verbindung kann prinzipiell geknackt werden auch 4096-bit lange Schlüssel entweder durch Bruteforce oder einen Glückstreffer. Von dem her musst du dich vom Gedanken verabschieden, dass eine Verbindung unknackbar sein könnte.
Allerdings openvpn basiert auf openssl und dieses gilt als recht robust und ist weitverbreitet. Von dem her dürfte es keine schwerwiegenden Fehler in der Software (openssl) geben. Dann macht also die Sicherheit dein Passwort und der verwendete Algorithmus aus. Wenn du ein zu einfaches PW hast nützt auch der sicherste Algo recht wenig. OpenVPN läuft per default afaik mit einem blowfish Algo mit 128bit Schlüssellänge. Der Algo lässt sich aber im Serverkonfigfile umstellen. blowfish ist die "beste" Mischform aus Sicherheit und Performance. So ist z.B. AES256 einiges "sicherer", ABER die Leistung von OVPN sinkt damit dramatisch (so ca 20% von unverschlüsselt während blowfish bei 50-60% liegen dürfte).

 

[Niemand2006]

Also wenn ich das richtig verstehe liegt bei Blowfish 50-60 % unverschlüsselter Datenverkehr vor?

Würde es denn nicht langen wenn ich die Schlüssellangt von 128 auf 256bit vergrößere? Geht das überhaupt wenn ja wo muss ich das einstellen?

mein Passwort ist 17 Zeichen lang. Das müsste doch langen oder? Also groß klein Sonderzeichen und Zahlen?

 

[jahlives]

die Schlüssellänge ist ebenfalls eine Konfigoption, ALLERDINGS wurde blowfish afaik für 128bit entwickelt. Längere Schlüssel können also u.U. die Sicherheit auch reduzieren beim blowfish. Und blowfish mit 256bit und du bist bei max 30% ;-)
17 Stellen dürften schon genug sein, allerdings stellt sich dabei immer die Frage wieviel Rechenpower dem Einrbrecher zur Verfügung steht d.h. mit den Servern der NSA könnte man das PW wohl in akzeptabler Zeit brechen ;-)

 

[Niemand2006]

Also sagen wir mal so. Wenn ich das Zertifikat vertraulich behandle und mit der verschlüsselung vom blowfish mit 128 bit und mein Passwort von 17 Zeichen mit Zahlen Groß klein und Sonderzeichen ist es recht sicher genug für ein Privatanwender. oder wie siehst du das jahlives?

 

[jahlives]

wie gesagt absolute Sicherheit gibt es nicht. 17 Zeichen Gross-Klein-Sonderzeichen-Zahlen sind sicher ein starkes PW. Allerdings auch nur dann wenn es wirklich zufällig generiert wurde und nicht (auch keine Teile davon) als Worte in Wörterbüchern existieren. Dann darfst du auch nie vergessen: Wenn man dich "hacken" will und die Ressourcen hat, dann dürfte es einfacher sein dir eine zugeschnittene Spyware resp Keylogger unterzujubeln als das Passwort an sich zu brechen ;-)
Also für den Privatanwender reicht es sicher, wenn das PW genügend zufällig ist und du Sicherheitssoftware (v.a. aktueller Virenscanner) installiert hast (um eben die Keylogger einigermassen ausschliessen zu können). Auch nicht vergessen, dass man Schlüssel und Passworte ebenfalls regelmässig ändern sollte

 

[Niemand2006]

Wie kann ich denn bei der DS212j den OpenVPN schlüssel ändern/ neu generieren? Geht das überhaupt?

 

[ubuntulinux]

Am besten garkein Passwortlogin verwenden, sondern die IPKG von OpenVPN mit Zertifikaten nutzen

 

[Niemand2006]

Das Problem ist nur das ich mich auch mit meinen Android Handy einwählen will.
Ich weiss ja nicht ob das geht wenn ich das mit zertifikaten mache?

 

[ubuntulinux]

einfacher als mit PW Config/Cert aufs Handy kopieren und fertig. Das Handy muss aber rooted sein (muss es auch bei PW auth).

 

[Niemand2006]

Gibt es denn da keine andere möglichkeit? Möchte mein Handy nich rooten. Hat jemand eine alternative?

 

[jahlives]

dann guck dir da PPtP-VPN an. Das sollten die Androids afaik auch unchrootet können

 

[Niemand2006]

Ich habe ein App das ist OpenVPN da brauche ich kein root das versiche ich mal mit den normalen von Synology. Dann kann ich ja immernoch das anedere mal mit den App versuchen und schauen ob das dann auch geht. Ich kann euch ja dann auch bescheid sagen ob es geht oder nicht.

 

[ubuntulinux]

Klar braucht die App root Da sie den TUN-Driver installieren und Binaries ausführen muss. Das geht unter Android nur mit root

 

[Niemand2006]

toll da stand das ich kein Root brauche und das es auch so funktioniert.

Ich wollte eine sichere Verbindung nach Hause entweder peer PPTP oder peer OpenVPN. Hat jemand noch eine Idee wie ich das realisieren kann.

PPTP lässt sich ja leicht knacken da es nicht so starb verschlüsslt ist. Da würde ich lieber OpenVPN benutzen da dort die Verschlüsselung besser ist.

Hat jemand noch eine Idee was ich machen kann ohne das Handy zu rooten und Ohne OpenVPN auf der DiskStation zu installieren oder gibt es da keine andere möglichkeit?

MfG

 

[jahlives]

PPTP lässt sich ja leicht knacken da es nicht so starb verschlüsslt ist. Da würde ich lieber OpenVPN benutzen da dort die Verschlüsselung besser ist.

also wenn du dir deswegen Sorgen machst solltest du definitiv nicht mit einem Handy auf deine DS zugreifen
Wenn du also ned rooten willst, dann ist der einzige "vernüftige" Weg via PPtP. Oder du greifst via verschlüsselter Filestation und verschlüsselten DSM (beide via https) mit dem Browser des Android zu. Oder via ssh, aber dann hättest du aber nur eine Konsole.

 

[Niemand2006]

Also die Konsole ist kein Problem. Aber da scheitert es ja wieder mit dem Handy da habe ich ja dann kein VPN.

Mal schauen ob ich da mein Handy doch roote.

 

[Niemand2006]

Hat jemand vielleicht eine Anleitung wie ich vorgehen muss beim Handy mit Android 4.0 das ich die VPN verbindung hinbekomme?

 

[cyorps]

Du richtest dir einen OpenVPN-Server auf der DSM ein, lädst dir eine der zahlreichen OpenVPN-Apps herunter (ich beispielsweise nutze Openvpn for Android), kopierst dir die Zertifikate auf dein Mobile, konfigurierst die Verbindung und legst los.

 

[Niemand2006]

Genau das selbe Programm nutze ich auch ich bekomme aber keine Verbindung.

Ich habe die Datei von OpenVPN importiert aber ich bekomme keine verbindung. Was muss ich machen das ich eine Verbindung bekomme, weil bei dir klingt das so einfach. Ich muss noch dazu sagen das ich den VPN Server von DSM nutze, also nicht die nachinstallierte Variante.

Er sagt immer TLS Handshake faild. an was kann das liegen?