Fragen zu den VPNs - Was kann die 2200 Serie und was nicht?

Fragen, Antworten und Hilfen rund um die Konfiguration

Beitragvon Dominic » So 27.01.2002 - 01:54

Hi Experten,

Ich habe mit dem Vigor bisher gute Erfahrungen als T-DSL
Gateway. Jetzt habe ich gehoert der Vigor kann auch VPNs
aufbauen. Dazu habe ich eine Menge Fragen:

Allgemein: Wo kann ich mich über dieses Thema weiter informieren, Handbücher downloaden etc.

1.) Welche Verschlüsselungen werden verwendet, gibt es
da Standards, wie sicher ist das?

2.) Wie funktioniert die Authentifizierung, es soll ja nicht Hinz und Kunz ins VPN kommen.

3.) Wie hoch sind die Tranferraten bei VPNs mit hoher Verschluesselung?

4.) Gehen Sternförmige VPNs, d.h. 4-5 Vigors auf einen zentralen ein VPN aufbauen ?

5.) Hat jemand ein VPN bei der auf der Gegenseite ein Linux-Rechner steht ? Wie ist das konfiguriert, wie weiss der Linuxrechner dass da der RICHTIGE Vigor connecten will ?

Allgemein würde ich mich über jede Form der Unterstuetzung freuen, Erfahrungsberichte, Konfigurationsanleitungen und vor allem Don´ts und Hinweise zu eventuellen Sicherheitslücken oder Konfigurationsfallen.

Greets, Dominic
Dominic
Grünschnabel
 
Beiträge: 5
Registriert: So 27.01.2002 - 01:32

Beitragvon Dominic » So 27.01.2002 - 02:17

Aehm ja, das Thema wird ja auf der Homepage von TwoCom schon recht ausführlich behandelt. Es bleiben aber noch ein paar Fragen:

Was bedeutet: [IKE für automatische "security negotiation" und "key management" ] und wie sehen
[Vordefinierte Authentication Keys] aus?

Wo kann ich mich über solche Protokolle schlau machen?
Für eine Zockrunde mit ein paar Kumpels ist das ja alles nicht so wichtig, aber wenn ich das für den geschäftlichen Einsatz empfehle sollte es schon sicher sein...
Ich sehe auch das Problem weniger in der Verschluesselung des laufenden Tunnels, sondern eben in der Authentifizierung, denn einen Vigor kann ja jeder kaufen, und dann probiert man halt man den T-DSL Adressraum oder alle DynIP-Adressen durch...

Wenn die Verbindung erst mal hergestellt ist denke ich dass ein 56bit-Schlüssel eigentlich langen sollte (D.h. DES-Verschlüsselung), schafft ein Vigor da volle T-DSL Geschwindigkeit ? Doppelte T-DSL Geschwindigkeit ? (256 kBit up, 1526 kBit down)

Würde die Gegenstelle bei 4 VPNs überlastet sein wenn es auch ein Vigor ist? Das mit der Linux-Gegenseite waer dann interessant, macht das jemand schon?

wo kann ich mich über Begriffe wie IPSec Tunnel, PPTP, L2TP oder L2TP über IPSec schlau machen?

Greets, Dominic
Dominic
Grünschnabel
 
Beiträge: 5
Registriert: So 27.01.2002 - 01:32

Beitragvon sbellon » So 27.01.2002 - 11:19

Hallo Dominic!

Schlau machen? Na, im Internet natürlich. Also entweder Google oder, da Du Dich ja sowieso für eine Lösung mit Linux zu interessieren scheinst, schau doch einfach mal bei http://www.freeswan.org/ vorbei.

IKE = Internet Key Exchange

Vigor kann momentan DES und 3DES, wobei er bei 3DES wohl ziemlich in die Knie geht. Und IKE geht nur über Preshared Keys, d.h. beide Seiten müssen sich vorher "offline" ein Geheimnis (einen String) teilen anhand dessen sie sich authentifizieren können.

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 81
Registriert: Mi 22.08.2001 - 18:48

Beitragvon bundr » So 27.01.2002 - 13:27

Hallo Dominic,

ich habe es hier so am Laufen wie Du es machen willst. Es spielt dabei keine Rolle welches Betriebssystem Du hinter den Routern hast.

Mit VPN habe ich in der Server-Server Konfiguration gute Erfahrungswerte gemacht.

Also IPSec Tunnel mit DES Verschlüsselung und IKE.
Hier ist ein problemloses Arbeiten möglich.

Es kommt eben auf die Zielsetzung an, d.h. was machen die Anwender? Datenaustausch oder Anwendungsprogramme Client-Server? Wir haben hier beides und das geht bestens.

Mit VPN-Verbindungen über L2TP oder PPTP habe ich Performanceprobleme und ich muss das mal noch besser austesten.

Wenn Du aber Server-Server, also Vigor-Vigor VPN-Connections machst, geht das einwandfrei. Du machst die gleichen Eintragungen wie beim Lan2Lan.

Der Vigor verträgt bis 5Mbit.

Gruß
BundR

(Geändert von bundr um 1:30 pm am Jan. 27, 2002)
Benutzeravatar
bundr
Power-User
 
Beiträge: 113
Registriert: Sa 02.06.2001 - 15:41

Beitragvon Dominic » So 27.01.2002 - 16:29

Hi nochmal,

SBellon: Danke für den Tip mit FreeS/Wan, das hatte ich gestern abend auch noch gefunden. Klingt so als wäre es
kompatibel zu den Vigor-VPNs

Bundr: Es geht mir nicht um das Betriebssystem "hinter" den Routern. Da ich ein Sternförmiges VPN aufbauen will, muesste einer der Vigors mindestens 4 VPNs gleichzeitig offen halten, und da befürchte ich dann schon Perfomanceprobleme. Daher wollte ich mit 4 Vigors je eine Verbindung auf einen Linuxrechner, ev. mit FreeS/Wan machen, da könnte dann auch gleich der Mailserver etc. laufen.

Noch eine Frage für den Privatgebrauch: Hält der Vigor die Verbindung offen (T-DSL flat auf beiden Seiten mit DynIp). Kann man das irgendwie einstellen oder wie macht man sowas? Denn es nützt ja nix wenn ich versuche mit dem zweiten Vigor zu connecten wenn der erste nicht online ist? Wie habt ihr dieses Problem gelöst?

Ich werde mit morgen einen oder zwei 2200 bestellen und dann starte ich mal erste Versuche wenn die da sind.
Trotzdem ist jede Hilfe weiterhin willkommen.

Vor allem waer interessant ob die Vigor-Protokolle und FreeS/Wan kompatibel sind. (Theoretisch und praktisch)

Greets, Dominic
Dominic
Grünschnabel
 
Beiträge: 5
Registriert: So 27.01.2002 - 01:32

Beitragvon Dominic » So 27.01.2002 - 16:39

So, nochmal ich....
Also, ich habe inzwischen herausgefunden dass die FreeS/Wan - Entwickler der Ansicht sind dass DES unsicher ist, deswegen wurde nur 3DES implementiert.
(http://www.freeswan.org/freeswan_trees/ ... terop.html)

Meine Frage: Welchen Durchsatz erreicht ein 2200 mit 3DES ? bei T-DSL zu T-DSL ist der Upload ja sowieso auf 128 kBit pro Seite begrenzt, das schafft auch der Virgor mit 3DES, oder ?

Greets, Dominic
Dominic
Grünschnabel
 
Beiträge: 5
Registriert: So 27.01.2002 - 01:32

Beitragvon Arie » So 27.01.2002 - 19:55

Der Durchsatz ist beim Vigor2200 mit 3DES ungefähr nur die Hälfte von dem was er mit DES schafft. (vor langer Zeit mal mit bundR ausgetestet). Meines Wissens ist die Verschlüsselung um vieles einfacher als die Entschlüsselung daher ist scheinbar der 50MhZ Prozessor etwas überfordert damit. Die 128kBit kann er glaube ich nicht verarbeiten.

Der Vigor kann m.E. nur 2 VPN verbindungen gleichzeitig offen haben. Was ich dir empfehle ist ein PC mit Linux oder Windows an Stelle des Routers der den 4er Stern bilden soll. Der PC hat die nötige Kapazität um die Entschlüsselung vorzunehmen. (Entspricht auch deiner Vorstellung)

Die verschlüsselten Daten werden dann vom Router ungesehen an den PC weitergereicht.

Zwecks FlatRate: Du kannst in deinem router einstellen, dass er immer online sein soll.


Gruß Arie

(Geändert von Arie um 7:57 pm am Jan. 27, 2002)
Das Publikum ist so einfältig, lieber das Neue als das Gute zu lesen.Arthur Schopenhauer
Benutzeravatar
Arie
Power-User
 
Beiträge: 236
Registriert: Fr 22.06.2001 - 23:27
Wohnort: Fürth

Beitragvon sbellon » Mo 28.01.2002 - 08:37

Ahoi zusammen!

Bei 3DES die *Hälfte* von dem, was DES schafft? Ich hätte jetzt eher einen Wert um ein Drittel erwartet. Schließlich muss die 3DES-Verschlüsselung dreimal durch den Algorithmus durch (drei Schlüssel a 56 bit und EDE-Verfahren). Da Verschlüsseln und Entschlüsseln im DES-Verfahren die gleiche Operation ist, darf hier auch kein Geschwindigkeitsunterschied auftreten. Wählt man zwei der drei benachbarten Schlüssel im 3DES gleich, so erhält man exakt DES (Da ein D ein E aufhebt).

So, mehr ins Detail will ich jetzt nicht gehen. ;-)

Also, ich bin mir extrem sicher, dass Verschlüsseln und Entschlüsseln gleich lang braucht, und dass 3DES dreimal so lange wie DES braucht. Alle Abweichungen davon sollten minimal sein.

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 81
Registriert: Mi 22.08.2001 - 18:48

Beitragvon Dominic » Do 31.01.2002 - 10:24

Hi Leute,

Arie: Wenn ich die Daten mit dem Linux-Rechner entschluessele, dann brauche ich den Router nicht mehr.
Bei mir läuft nämlich ein Linux-Rechner als Router, und man kann dann auch mehr Tricksen beim Routen, DynIP etc.
Die Frage ist eben, ob sich der Vigor und ein Linuxrechner mit FreeS/Wan verstehen...

sbellon:
Das mit den benachbarten Schluesseln ist sehr interessant, ev. könnte man so FreeS/Wan austricksen ;-)

Alle:
Ich melde mich nochmal wenn die Router da sind, dann kommen sicher noch einige konkrete Probleme auf...

Greets, Dominic
Dominic
Grünschnabel
 
Beiträge: 5
Registriert: So 27.01.2002 - 01:32


Zurück zu DrayTek Vigor 2200 (X/E/W) Router - Konfiguration

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron