Hallo alle Folgendes möchte ich mit dem Centro Business Router 2.0 einrichten: * Side to Side VPN (zwei Standorte / Netzwerke verbinden) * VPN (von Aussen in einem von beiden Netzwerken zugreifen) Die Anleitung für das Side To Side scheint mir etwas ungenau und für die VPN Verbindung gibt es gemäss Centro Business 2.0 Dokumentation keine Option. Zu meinen Fragen: 1. Was für ein Passwort braucht es für die Side To Side VPN Verbindung? Braucht es ein random Passwort, das auf beiden Seiten eingetragen wird? 2. Warum hat Swisscom für die Side To Side Lösung keine Zertifikate vorgesehen? 3. Gibt es die Option eine VPN Verbindung von Aussen nach Innen (kein Side To Side) mit dem Centro Business Router oder muss man selbst einen VPN Server betreiben? Für den Swisscom Home Router gibt es diese Möglichkeit... Danke bereits im Voraus für eure Hilfe, Viele Grüsse mab

Hallo @"mab9"#975868 Die einzige Anleitung welche ich kenne ist folgende: [https://documents.swisscom.com/product/1000260-Connectivity\_Geraete\_/Documents/Spezifikationen/Centro\_Business\_Site\_to\_Site\_VPN%20%C3%BCber\_IPsec\_einrichten-de.pdf](https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business_Site_to_Site_VPN%20%C3%BCber_IPsec_einrichten-de.pdf) Dort steht auch das du auf beiden Seiten das selbe Passwort eintragen musst. Gruss Lorenz

Centro Business Side to Side VPN und VPN

mab9

Hallo alle

Folgendes möchte ich mit dem Centro Business Router 2.0 einrichten:

Side to Side VPN (zwei Standorte / Netzwerke verbinden)
VPN (von Aussen in einem von beiden Netzwerken zugreifen)

Die Anleitung für das Side To Side scheint mir etwas ungenau und für die VPN Verbindung gibt es gemäss Centro Business 2.0 Dokumentation keine Option. Zu meinen Fragen:

Was für ein Passwort braucht es für die Side To Side VPN Verbindung? Braucht es ein random Passwort, das auf beiden Seiten eingetragen wird?
Warum hat Swisscom für die Side To Side Lösung keine Zertifikate vorgesehen?
Gibt es die Option eine VPN Verbindung von Aussen nach Innen (kein Side To Side) mit dem Centro Business Router oder muss man selbst einen VPN Server betreiben? Für den Swisscom Home Router gibt es diese Möglichkeit...

Danke bereits im Voraus für eure Hilfe,

Viele Grüsse mab

Lori-77

Hallo @mab9

Die einzige Anleitung welche ich kenne ist folgende:

https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business_Site_to_Site_VPN%20%C3%BCber_IPsec_einrichten-de.pdf

Dort steht auch das du auf beiden Seiten das selbe Passwort eintragen musst.

Gruss Lorenz

mab9

Danke für deine Antwort @Lori-77

Die Anleitung habe ich gelesen und verstanden. Allerdings bleiben die Fragen 2. und 3. offen.

Ich verstehe nicht, warum keine Zertifikate verwendet werden (also nur ein Passwort)

und wie mit Centro Business 2.0 eine VPN Verbindung aufgebaut werden soll.

Lori-77

Hallo @mab9

Auf die Frage 2 muss ich passen warum dort kein Zertifikat hinterlegt ist. Das muss dir Swisscom beantworten.

Auf Frage 3 das kann der CB2 nicht.

Da gibt es aber auch verschiedene möglichkeiten, endweder ein dahinterliegendes Gerät macht dir den VPN-Server. Oder du ziehst die IB3 in betracht. Darfst aber keine ISDN Geräte mehr haben und keine Fixe IP-Adresse.

Gruss Lorenz

Werner

Soweit ich weiss unterstützt die IB3 dann dafür das Site-to-Site VPN nicht.

mab9

Die Swisscom konnte mir nicht weiterhelfen und hat mich auf diese Seite hingewiesen.

Das ergibt doch alles keinen Sinn. Wenn keine Zertifikate verwendet werden, dann wird nicht über das TLS Protokoll kommuniziert... Die Swisscom bietet für den Home Router die VPN Funktionalität an aber nicht für die Centro Business Router. Für die Centro Business Router ein Side To Side VPN aber keine (normale) VPN Verbindung an.

Werner

@mab9

Mit dem VPN der Internetboxen würdest Du beim professionellen Einsatz auch nicht glücklich werden.

Für das Road Warrior VPN vergisst Du am besten die Swisscom-Software und stellst Dir unterstützt durch eine Portweiterleitung auf dem CB2 einfach einen zusätzlichen Open VPN Server ins eigene Netz (könnte physisch auch auf einem NAS laufen).

Auf den vagabundierenden Clients braucht es dann zwar als Software (Open VPN Connect App für Android und iOS, Open VPN Client für Windows, etc.) noch einen zusätzlichen Open VPN Client, aber diese Verbindungen laufen dann unabhängig vom Site-to-Site VPN sehr sicher und stabil.

mab9

@Werner

Das ganze scheint mir Suspekt. Falls ich Zeit finde, schaue ich mir den Code der Swisscom-SW einmal genauer an.

Die beste Wahl scheint OpenVPN Server selbst zu betreiben.

Werner

@mab9

Also falls Du tatsächlich den Code der Swisscom-SW mal näher anschauen kannst, musst Du ja eigentlich ein Insider sein...

Open VPN Server zu verwenden ist in jedem Fall eine erfolgversprechende Strategie. Wäre aktuell auch meine Wahl.

Tux0ne

1. Das Passwort PSK muss auf beiden Seiten gleich sein. Steht so in der Anleitung und ist jedem klar der ewtas von VPN versteht. Empfohlen werden Zeichenlängen um die 30.

2. Für ein Side to Side VPN mit 2 Gegenstellen sit ein Passwort, sprich PSK absolut genügend. Es gibt mit Zertifikaten keine zusätzliche Sicherheit. Einzig bei einem Passwortverlust oder Änderung müsste man überall das Passwort ändern. Bei Zertifikaten könnte man dieses einfach Widerrufen. Bei 2 Gegenstellen ist das aber wohl kaum gefragt und üblich das man mit PSK arbeitet. Es handelt sich ja nicht um einen Remoteaccess mit vielen Mitarbeitern und ständigem Personalwechsel.

+ Stellt man hier bereits solche Fragen zu PSK, wie würe es echt mit Zertifikaten und dem Austausch erst aussehen?

3. Nein. Ist bei Business eher nicht so gefragt da man selber Lösungen erabeiten kann die die Swisscom Lösungen um ein vielfaches übetreffen. Zb Appliances die als VPN Server arbeiten.

mab9

@Anonym Danke für Deine Antwort.

Falls die Side To Sides gegen Brute Force Attacken geschützt sind

/ der Schlüssel genügend Entropie aufweist, ergibt es für mich Sinn.

Dann kann man auch auf das Zertifikat verzichten.

Tux0ne

Der PSK dient bei ipsek nur der Identifikation der Gegenstelle wie zusätzlich zB. die IP der Gegenstelle.
Auf die Verschlüsselung hat der PSK keinen Einfluss. Die Verschlüsselung wird auch je nach Konfig alle paar Minuten / Stunden gewechselt.
Ein genügend langer PSK ist bei ipsek v1 im main mode und v2 kein Problem. (Bis dato)