@Miethadeitz39

Hai la possibilità di configurare una connessione VPN sul tuo cellulare per vedere se funziona?

Internet-Box 2, 3 e 4 consentono tre connessioni simultanee. Ciò richiede la creazione di tre utenti VPN. È consentita una sola connessione per utente.

@Miethadeitz39

Probabilmente hai l’ultimo aggiornamento su Windows 11 poiché in precedenza si sono verificati problemi con la VPN.

[https://de.minitool.com/news/microsoft-fixes-windows-update-vpn-problem.html](https://de.minitool.com/news/microsoft-fixes-windows-update-vpn- problema.html)

Ho lo stesso problema, 9 volte su 10 non funziona. Con un dispositivo Windows 10 o MacOS funziona senza problemi. Ti consiglio di mettere un piccolo firewall dietro l’IB e di usarlo per stabilire la connessione VPN.

@Miethadeitz39

A parte i vostri attuali problemi, L2TP in realtà è già obsoleto e non gode più della migliore reputazione in termini di sicurezza, motivo per cui non è più supportato dalle versioni più recenti di Android.

I server VPN all’avanguardia per uso privato sono attualmente Open VPN Server e WireGuard.

Purtroppo entrambi questi servizi non sono ancora supportati dagli Internet Box di Swisscom. Non sappiamo se ci sarà altro.

La stragrande maggioranza delle persone che utilizzano spesso le connessioni VPN alla rete domestica si sono già organizzate autonomamente senza il server VPN dell’Internet box.

Esistono diverse opzioni e concetti per questo:

- Pacchetto VPN su NAS, ad es. B. Aprire il server VPN su un Synology NAS

- router aggiuntivo collegato in cascata con una propria rete dietro l’Internet Box, che supporta già i server Open VPN e/o WireGuard da “casa”.

- Rasperry PI come mini PC aggiuntivo nella rete con il pacchetto PIVPN (Open VPN Server e WireGuard) installato su di esso

- altri dispositivi aggiuntivi nella rete, come Brume 2 e simili, dotati di funzionalità server VPN preinstallate (Open VPN Server e WireGuard)

Tutte le alternative all’attuale server VPN degli Internet Box non solo sono più flessibili nell’uso, ma l’esperienza ha dimostrato che funzionano anche in modo molto più stabile e hanno prestazioni migliori.

Per fare ciò è necessario inoltrare la porta 1194 (UDP) dell’IB2 al NAS (port forwarding).

Tuttavia, questo metodo non è molto sicuro, ma è comunque meglio che appendere il QNAP direttamente su Internet.

---

@Sc00by ha scritto:

Per fare questo devi inoltrare la porta 1194 (UDP) dell’IB2 al NAS (port forwarding).

Tuttavia questo metodo non è molto sicuro……

---

Si può discutere se questo sia “non sicuro”: qual è l’alternativa sicura?

Un server VPN sul lato LAN del box Internet DEVE essere accessibile tramite port forwarding, quindi ovviamente non hai altra scelta se desideri utilizzare un box Internet come unico CPE

@Sc00by

Sui server Open VPN la porta di solito può essere selezionata liberamente e in tal caso non è assolutamente consigliabile utilizzare la porta predefinita UDP 1194.

Se scegliete ad esempio qualcosa come UDP 55123, non vi trovate più nell’area standard di scansione delle porte dei bot di Internet e inoltre non potete più riconoscere dall’esterno dal numero di porta che esiste specificamente un Open Dietro di esso si trova un server VPN, sul quale è possibile “controllare” consapevolmente eventuali punti deboli nel protocollo di comunicazione utilizzato.

Divulgare il meno possibile la propria rete su Internet è sempre una buona idea 🙂

---

@Sc00by ha scritto:

@POGO 1104 Dal mio punto di vista, un vero firewall in cui non ho l’intera rete interna aperta e con le regole del firewall apro solo i sistemi con la porta corrispondente e ho una registrazione corretta. Anche il blocco nazionale è qualcosa di cui non voglio più fare a meno, il 99,9% degli attacchi non proviene dal CH 🙂

---

Certo, ci sono varie opzioni…

Ma in qualche modo come utente privato devi lasciare “la chiesa del villaggio”…

Ognuno come può e vuole…

---

@Werner ha scritto:

A parte i tuoi problemi attuali, L2TP è in realtà già obsoleto e non gode più della migliore reputazione in termini di sicurezza

---

L2TP in combinazione con IPSEC è ora una soluzione sicura per un tunnel VPN su OSI Layer 2 se implementato e configurato correttamente.

https://www.elektronik-kompendium.de/sites/net/1410061.htm

[https://www.heise.de/ background/VPN-Knigge-270796.html?seite=all](https://www.heise.de/ background/VPN-Knigge-270796.html?seite=all)

L2TP senza IPSEC è una soluzione tunnel VPN non sicura.

https://www.elektronik-kompendium.de/sites/net/0906131.htm

Se desiderate una soluzione tunnel VPN indipendente dal produttore e a prova di futuro su OSI Layer 3, allora oggi è appropriato l’utilizzo della versione IKE 2 in combinazione con IPSEC (IKEv2/IPSEC). Aiuto con questo:

[https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795](https://www.lancom-forum.de/ domande-sull’argomento-vpn-f14/vpn-via-android-client-t17229.html#p97795)

Se non è urgentemente necessaria la trasmissione di pacchetti di dati dai protocolli di rete OSI Layer 2 (ad es. ARP), si dovrebbe evitare il problema delle soluzioni tunnel OSI Layer 2 e implementare una soluzione tunnel VPN su OSI Layer 3. => Solo i pacchetti di dati IP vengono tunnelati e inoltrati dai router.

Una volta ho letto da qualche parte che gli operatori di rete mobile come Swisscom utilizzano volentieri L2TP/IPSEC per collegare le antenne dei telefoni cellulari alla rete mobile centrale tramite connessioni di rete non sicure.

Un argomento contro l’uso di OpenVPN o Wireguard può essere trovato su:

[https://www.lancom-forum.de/lancom-feature-wuensche-f22/wireguard-t18159.html#p103229](https://www.lancom-forum.de/lancom-feature-wuensche-f22/ wireguard-t18159.html#p103229)

da uno sviluppatore/programmatore di software. Ma sì, purtroppo la stragrande maggioranza dei clienti privati ​​si sente semplicemente sopraffatta dalla configurazione di un tunnel VPN tramite IKEv2/IPSEC…

StrongSwan può essere utilizzato sul Raspberry Pi. StrongSwan è una soluzione VPN open source per IKEv2/IPSEC finanziata con il denaro dei contribuenti svizzeri.

https://de.wikipedia.org/wiki/StrongSwan

Viene fornita un’introduzione all’argomento “StrongSwan come server VPN sul Raspberry Pi”:

[https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750] (https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750)

Quando si utilizza StrongSwan, il certificato della macchina particolarmente protetta può essere archiviato in un HSM. Vedere:

[https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/adv-vpn-client-und-mfa-t20326.html](https://www.lancom-forum.de/ domande-sul-tema-vpn-f14/adv-vpn-client-und-mfa-t20326.html)

BSI TR-02102-3 offre consigli di configurazione per l’utilizzo di IKEv2/IPSEC:

https://www.bsi.bund.de/DE/Themen/unternehmen-und-Organisationen/Standards-und-Zertifient/Technische-Guidelines/TR-nach-Thema-sortiert/tr02102/tr02102_node.html

BSI TR-02102 offre consigli di configurazione per l’utilizzo di una VPN SSL (https://de.wikipedia.org/wiki/SSL-VPN 2 :

https://www.bsi.bund.de/DE/Themen/unternehmen-und-Organisationen/Standards-und-Zertifient/Technische-Guidelines/TR-nach-Thema-sortiert/tr02102/tr02102_node.html

[https://openvpn.net/vpn-server-resources/change-encryption-cipher-in-access-server/](https://openvpn.net/vpn-server-resources/change-encryption-cipher-in -accesso al server/)

Dovrebbe essere chiaro che ogni endpoint VPN deve essere completamente sotto il proprio controllo. Grazie al protocollo di configurazione remota TR-069 e agli aggiornamenti automatici del firmware del provider di connessione Internet (ISP), un modem via cavo (qui: Internet Box) MAI è completamente sotto il controllo privato o Geschäftskunden. Vedere:

[https://community.swisscom.ch/t5/Mobile/SIM-SWAP-maximaler-Schutz/m-p/810037#M14267](https://community.swisscom.ch/t5/Mobile/SIM-SWAP-maximaler- Protezione/m-p/810037#M14267)

https://de.wikipedia.org/wiki/TR-069

Avrebbe più senso implementare una protezione efficace contro gli attacchi DDoS piuttosto che oscurare la porta TCP o UDP utilizzata dal server VPN. Vedere:

- SSL VPN => TCP SYN protegge dalla protezione

https://openvpn.net/blog/vpn-prevent-ddos/

[https://people.netfilter.org/hawk/presentations/devconf2014/iptables-ddos-mitigation\_JesperBrouer.pdf](https://people.netfilter.org/hawk/presentations/devconf2014/iptables-ddos-mitigation_JesperBrouer. pdf)

- IKEv2 => Cookie di sessione (scambio di cookie)

[https://www.heise.de/ background/Einfacher-VPN-Tunnelbau-dank-IKEv2-270056.html?seite=all](https://www.heise.de/ background/Einfacher-VPN-Tunnelbau- grazie-IKEv2-270056.html?page=all)

https://www.lancom-forum.de/viewtopic.php?p=114107

E sì, con i prodotti VPN tutti gli aggiornamenti di sicurezza dovrebbero essere sempre installati il ​​più rapidamente possibile. Alcune aziende sono molto negligenti nell’installare aggiornamenti di sicurezza con i loro prodotti SSL VPN:

[https://www.heise.de/news/Ivanti-und-Fortinet-Lecks-Weiter-viele-Geraete-verwundbar-auch-CISA-betroffen-9651510.html] (https://www.heise.de/news/Ivanti-und-Fortinet-Lecks-Weiter-viele-Geraete-verwundbar-auch-CISA-betroffen-9651510.html)

Oppure i prodotti SSL VPN di numerosi noti produttori utilizzati da aziende e autorità sono semplicemente insicuri “by design”:

[https://www.heise.de/news/US-regierungsbehoerden-IT-seit-Years-through-chinesische-Angreifer-unterwandert-9624187.html](https://www.heise.de/news/US- L’IT governativo è stato infiltrato da aggressori cinesi per anni (9624187.html)