PPTP - unsicher?

[Digichr]

Hallo zusammen

Ich hab gelesen, dass PPTP unsicher ist und so jemand einfach in mein VPN einloggen könnte.
Ist der Synology VPN Server hier auch betroffen?



Das würde ja dann heissen OpenVPN oder ipsec verwenden.

 

[Frogman]

...Das würde ja dann heissen OpenVPN oder ipsec verwenden.

Ja - grundsätzlich ist das richtig. Wobei es da nicht um ein "einfaches einloggen geht"... man muss schon etwas Aufwand treiben, um PPTP zu kompromittieren - der kleine Klausi von gegenüber kann das kaum (und sein Papa oder Mama mit hoher Wahrscheinllichkeit auch nicht).

 

[Digichr]

Danke dir. Ich nehme an Port ändern geht nicht. Wäre ja auch nur Security by Obscurity.
Also wohl mal in die anderen Themen einlesen

 

[fpo4711]

Hallo und willkommen im Forum,

soooo unsicher ist PPTP nicht. Hier muß schon einiges an Aufwand getrieben werden um Zugriff zu erlangen. Siehe hier. Und das betrifft alle Geräte die per PPTP arbeiten. Prinzipiell würde ich aber OpenVPN bzw. IPSec empfehlen. Vorzugsweise OpenVPN da hiermit keine Probleme über NAT-Router hinweg bestehen und das Routing besser gelöst ist.

Wichtig hierbei aber auch dein DSM bzw. VPN-Server aktuell zu halten, da hier zwei Sicherheitslücken leider vorhanden waren.

Gruß Frank

 

[Digichr]

Danke
Hat ipsec sonst Nachteile?

iOS und auch Android können das ja von sich aus.

 

[fpo4711]

Hier kannst Du die verschiedenen Lösungen der DS vergleichen und auch einiges an Hintergundwissen sammeln. Das größte Manko bei IPSec ist meiner Meinung nach 2 x NAT = IPSec tot und eine gewisse Empfindlichkeit bei Übertragungsfehlern. Somit ist das beispielsweise bei ständig wechelsenden Standorten (Hotels) schonmal ein Problem.

Gruß Frank

 

[ottosykora]

Frank,
zu dem '2 x NAT = IPSec tot' habe ich eine Überraschung erlebt: es geht seit einigen Wochen, seit einem der letzten Updates der DSM, welches weiss ich nicht mehr.

Habe es schon eigentlich abgeschrieben weil ich eben bei der Heim DS den Provider Router habe und dahinter eine FB. Beide NATen und somit ging es zuerst nie. PPTP und OpenVPN ging jedoch.

Seit einiger Zeit geht L2TP/IPsec jedoch prima, genau so einfach und schnell eingerichtet wie PPTP vo0n einem w7 aus.

Warum geht es jetzt und warum ging es nicht früher mit genau den gleichen Einstellungen?

 

[fpo4711]

Hallo,

Warum geht es jetzt und warum ging es nicht früher mit genau den gleichen Einstellungen?

eine Erklärung hab ich jetzt erstmal nicht. Allerdings geht heute auch meine geistige Leistung gegen Null. Prinzipiell kann man IPSec Pakete nicht NAT-ten da dadurch der Header verändert würde und somit die Verschlüsselung (sprich das Paket ist nicht mehr so wie es mal war) gebrochen ist. Um dieses konzeptionelle Manko (und da fragt sich manchmal ob da Jemand in der Planungsphase schon mal was von NAT gehört hat oder ob alle schon daran geglaubt haben das es in wenigen Jahren ja nur noch IPv6 gibt ) zu kompensieren, wurde dann NAT-Traversal ins Leben gerufen. Damit werden die Pakete gekapselt und am Ende wieder entschält. Deshalb auch die zwei Ports die dann immer notwendig sind.

Warum das jetzt bei Dir funktioniert weiß ich erstmal nicht. Denn eigentlich müßte nach dem ersten Router das Paket wieder im Originalzustand sein und dann weil ein weiteres mal geNATtet wieder ungültig werden.

Gruß Frank

 

[ottosykora]

was mich da erstaunt, wenn ich von aussen die Ports scanne, ist angeblich 500, 4500, 1701 zu.
Bei der Einrichtung an dem Provider Gerät wollte ich alle Ports durchziehen zu der FB, also Transparent Host, aber das ging nicht einige Ports, wie zum Bsp 4500 hat das Gerät als 'reserviert' oder so was bezeichnet und sich geweigert.
In der FB sind dann die 500, 4500, 1701 nach der Anleitung an die DS geleitet.
Provider Router macht extIP - 192.168.1.1 , schickt alles was geht an FB=192.168.1.101 , FB dann von 192.168.1.101 - 192.168.110.250 (=DS)

es wird mit 'vorinstalliertem Schlüssel' gearbeitet, kein Zert.

 

[süno42]

Hallo,
[...], wurde dann NAT-Traversal ins Leben gerufen. Damit werden die Pakete gekapselt und am Ende wieder entschält. Deshalb auch die zwei Ports die dann immer notwendig sind.

Warum das jetzt bei Dir funktioniert weiß ich erstmal nicht. Denn eigentlich müßte nach dem ersten Router das Paket wieder im Originalzustand sein und dann weil ein weiteres mal geNATtet wieder ungültig werden.

Ich habe es mit zweistufigem NAT noch nicht ausprobiert, aber prinzipiell ist es egal, wieviele NAT-Stufen sich bei NAT-Traversal zwischen den Endpunkten befinden. In diesem Modus werden die Pakete wie jedes andere UDP-Paket behandelt. Die Einschränkung über NAT ist natürlich, daß der AH-Modus (Authentication Header) nicht verwendet werden darf. Und als Port ist auch einer ausreichend.


Viele Grüße
Süno42

 

[ottosykora]

daß der AH-Modus (Authentication Header) nicht verwendet werden darf.

hmm , ja, also an den Einstellungen in dem remote PC habe ich nichts geändert, eigentlich ist dort alles so defaultmässig wie es von MS ausgefüllt war.
Ging trotzdem nicht von Anfang an. Als die L2TP/Ipsec bei der DS eingeführt wurde, habe ich es gleich alles aufgesetzt, ging jedoch nie. Endete in einem Timeout, Fehler Nummer weiss ich nicht mehr.

Seit einer der letzten Updates, betrifft meine 4.3, geht es jedoch ganz normal. Es sind CHAP und MS CHAP v2 angekreuzt.

Habe es nun von mehreren PC probiert, geht überall prima, mindestens so gut wie PPTP.

 

[Digichr]

Nochmals Danke für eure Hilfe.

Etwas ist mir jetzt klar: Damit jemand an mein VPN kommt, muss er die Pakete sniffen. Wenn ich nur von Wohnung A ins NAS aus Wohnung B gehe, sollte nichts passierten. Ich gehe jetzt davon aus, dass das WLAN sicher ist

Muss mit IPSEC wohl noch ein bisschen tunen. Obwohl die Ports offen sind, will er nicht immer connecten.

Mal weitergrübeln.