@Werner schrieb:
Abgesehen von Deinen aktuellen Problemen ist L2TP eigentlich bereits veraltet und hat auch Security-mässig nicht mehr den besten Ruf
L2TP in Kombination mit IPSEC ist heute bei korrekter Implementierung und Konfiguration eine sichere Lösung für einen VPN-Tunnel auf OSI-Schicht 2.
https://www.elektronik-kompendium.de/sites/net/1410061.htm
https://www.heise.de/hintergrund/VPN-Knigge-270796.html?seite=all
L2TP ohne IPSEC ist eine unsichere VPN-Tunnellösung.
https://www.elektronik-kompendium.de/sites/net/0906131.htm
Wenn es eine herstellerunabhängige und zukunftssichere VPN-Tunnellösung auf OSI-Schicht 3 sein soll, dann ist heute der Einsatz von IKE Version 2 in Kombination mit IPSEC angebracht (IKEv2/IPSEC). Hilfestellung dazu:
https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795
Wenn kein dringender Bedarf an die Übertragung von Datenpakete von Netzwerkprotokollen der OSI-Schicht 2 vorhanden ist (z.B. ARP), sollte die Problematik von OSI Schicht 2-Tunnellösungen vermieden werden und eine VPN-Tunnellösung auf OSI-Schicht 3 realisiert werden. => Nur IP-Datenpakete werden getunnelt und von den Routern weitergeleitet.
Irgendwo habe ich mal gelesen, dass Mobilfunknetzwerkbetreibern wie Swisscom gerne L2TP/IPSEC für die Anbindung der Mobilfunkantennen über unsichere Netzwerkverbindungen an das Kernnetzwerk des Mobilfunks verwenden.
Eine Argumentation gegen den Einsatz von OpenVPN oder Wireguard findet man unter:
https://www.lancom-forum.de/lancom-feature-wuensche-f22/wireguard-t18159.html#p103229
von einem Softwareentwickler/Programmierer. Aber ja, leider ist die grosse Mehrheit der Privatkunden mit der Konfiguration eines VPN-Tunnels per IKEv2/IPSEC schlicht überfordert...
Auf dem Raspberry Pi kann StrongSwan verwendet werden. StrongSwan ist ein mit Schweizer Steuergeldern finanzierte Open Source-VPN-Lösung für IKEv2/IPSEC.
https://de.wikipedia.org/wiki/StrongSwan
Einen Einstieg zum Thema "StrongSwan als VPN-Server auf dem Raspberry Pi" bietet:
https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfaser-...
Beim Einsatz von StrongSwan kann das besonders schützenswerte Maschinenzertifikat in einem HSM gelagert werden. Siehe dazu:
https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/adv-vpn-client-und-mfa-t20326.html
Konfigurationsempfehlungen für den Einsatz von IKEv2/IPSEC bietet BSI TR-02102-3:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Techni...
Konfigurationsempfehlungen für den Einsatz eines SSL-VPN (https://de.wikipedia.org/wiki/SSL-VPN) bietet BSI TR-02102-2:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Techni...
https://openvpn.net/vpn-server-resources/change-encryption-cipher-in-access-server/
Klar sollte sein, dass sich jeder VPN-Endpunkt vollständig unter eigener Kontrolle befinden muss. Ein Kabelmodem (hier: Internet Box) ist dank dem Fernkonfigurationsprotokoll TR-069 und den automatischen Firmware-Updates vom Internetanschlussanbieter (ISP) NIE vollständig unter der Kontrolle des Privat- oder Geschäftskunden. Siehe dazu:
https://community.swisscom.ch/t5/Mobile/SIM-SWAP-maximaler-Schutz/m-p/810037#M14267
https://de.wikipedia.org/wiki/TR-069
Sinnvoller als die Verschleierung des vom VPN-Server verwendeten TCP- oder UDP-Ports wäre die Implementierung eines wirkungsvollen Schutzes vor DDoS-Angriffen. Siehe dazu:
- SSL-VPN => TCP SYN floods protection
https://openvpn.net/blog/vpn-prevent-ddos/
https://people.netfilter.org/hawk/presentations/devconf2014/iptables-ddos-mitigation_JesperBrouer.pd...
- IKEv2 => Session Cookie (Cookie-Austausch)
https://www.heise.de/hintergrund/Einfacher-VPN-Tunnelbau-dank-IKEv2-270056.html?seite=all
https://www.lancom-forum.de/viewtopic.php?p=114107
Und ja, bei VPN-Produkten sind alle Sicherheitsupdates immer so schnell wie möglich zu installieren. Einige Firmen sind mit ihren SSL-VPN-Produkten beim Einspielen von Sicherheitsupdates sehr lasch unterwegs:
https://www.heise.de/news/Ivanti-und-Fortinet-Lecks-Weiter-viele-Geraete-verwundbar-auch-CISA-betrof...
Oder die von den Firmen und Behörden eingesetzten SSL-VPN-Produkte von zahlreichen, namhaften Herstellern sind schlicht "per Design" unsicher:
https://www.heise.de/news/US-Regierungsbehoerden-IT-seit-Jahren-durch-chinesische-Angreifer-unterwan...
