Hallo Community Ich versuche von meinen Windows 11 aus auf die Internet-Box 2 eine VPN Verbindung herzustellen. In der Internet Box habe ich ich VPN aktiviert und das VPN Protokoll IKEv2 mit Benutzername und Passwort definiert. Die Verbindung natürlich über die DynDNS in Windows11 korrekt eingegeben. Doch ich erhalte Fehlermeldungen oder die Verbindungsaufnahme dreht in einer endlos Schleife. Funktioniert Windows11 überhaupt mit der IB2 zusammen? Brauche ich eine separate VPN client Software auf dem Laptop? Mit welcher arbeitet die IB2? Kann mir jemand helfen? Beste Grüsse Pat

Gemäss offizieller Anleitung ist bei Windows nur L2TP möglich: https://www.swisscom.ch/de/privatkunden/hilfe/internet/vpn-server.html Mit Android-, iOS- und Mac-Geräten empfehlen wir, das VPN-Protokoll IKEv2 zu nutzen. Für Windows ist nur das VPN-Protokoll L2TP möglich. Die Internet-Boxen 2, 3 und 4 unterstützen beide Protokolle, die Internet-Box plus nur L2TP.

@Miethadeitz39 Nehme an Du probierst mit dem Notebook von extern eine VPN Verbindung herzustellen, also nicht im eigenen Netz und dieses externe Netz hat nicht die gleiche IP-Adresse 192.168.1.1 wie Dein Heimnetzwerk.

genau so ist es. von extern mit anderer IP. Ich komme einfach nicht rein, habe auch versucht mit Hotspot via Handy. Habe mit IKEv2 und L2TP versucht… Muss ich mit Zertifikat arbeiten. Ich dreh am Rad…

@Miethadeitz39 Hast Du die Möglichkeit zusätzlich auf dem Handy eine VPN Verbindung einzurichten um zu schauen ob das funktioniert. Internet-Box 2, 3 und 4 erlauben drei gleichzeitige Verbindungen. Dafür müssen drei VPN-Benutzer erstellt werden. Pro Benutzer ist nur eine Verbindung erlaubt.

Vom Handy aus funktioniert es. Ich versuche nochmals die Einrichtung mit L2TP Protokoll. Ihr hört wieder von mir. LG Pat

VPN Verbindung von Windows 11 zur Internet Box herstellen

WalterB

@Miethadeitz39

Du hast ja beim Windows 11 sicher die neusten Update drauf den es gab früher mal Probleme mit VPN.

https://de.minitool.com/nachrichten/microsoft-behebt-windows-update-vpn-problem.html

Sc00by

Ich habe das gleiche Problem, 9 von 10 Mal geht es nicht. Mit einem Windows 10 Gerät oder MacOS geht es ohne Probleme. Ich empfehle dir eine kleine Firewall hinter die IB zu stellen und über diese die VPN Verbindung herzustellen.

Miethadeitz39

Danke für den Tipp mit der zusätzlichen Firewall. Das möchte ich lieber vermeiden, falls es auch ohne geht.

Ich habe auch L2TP vergebens versucht. Ich vermute, es liegt an der Kombination "Windows 11 mit der Internet-Box 2 (IB2).

Weiss jemand, ob es eine VPN-Client Software gibt, die mit der IB2 funktioniert?

Kann/Müsste ich auf Seite IB2 eine solche VPN-Server App installieren? Geht das überhaupt?

BG Pat

Werner

@Miethadeitz39

Abgesehen von Deinen aktuellen Problemen ist L2TP eigentlich bereits veraltet und hat auch Security-mässig nicht mehr den besten Ruf, weshalb es von den neueren Androidversionen auch schon gar nicht mehr unterstützt wird.

State-of the-Art VPN-Server für den Privatgebrauch sind aktuell Open VPN Server und WireGuard.

Beides wird bis jetzt von den Swisscom Internetboxen leider noch nicht unterstützt. Ob da mal noch was kommt, weiss man nicht.

Die allermeisten, welche VPN-Verbindungen ins Heimnetz öfters benutzen haben sich deshalb bereits ohne den VPN-Server der Internetbox selbstständig organisiert.

Dafür gibt es mehrere Möglichkeiten und Konzepte:

- VPN-Paket auf einem NAS, z. B. Open VPN Server auf einem Synology NAS

- kaskadierter zusätzlicher eigener Router mit eigenem Netz hinter der Internetbox, welcher Open VPN-Server und/oder WireGuard bereits von “Hause auf” beherrscht

- Rasperry PI als zusätzlicher Mini-PC im Netzwerk mit dem da drauf installierten Paket PIVPN (Open VPN Server und WireGuard)

- andere Zusatzgeräte im Netzwerk, wie z.B. Brume 2 und ähnliche, welche VPN-Server-Fähigkeiten bereits vorinstalliert mitbringen (Open VPN Server und WireGuard)

Alle Alternativen zum aktuellen VPN Server der Internetboxen sind nicht nur flexibler in der Verwendung, sondern funktionieren erfahrungsgemäss auch weitaus stabiler und performanter.

Miethadeitz39

Hallo Werner

Herzlich danke für Deine klare Antwort.

Mein eigentliches Ziel ist es, auf via VPN auf das Laufwerk des QNAP NAS zuzugreifen.

Als erstes versuche ich also, eine VPN App von QNAP zu finden und anzuwenden.

Ich bin gespannt, ob mir das gelingt und melde mich wieder.

Pat

Sc00by

Dafür musst du den Port 1194 (UDP) auf der IB2 zum NAS weiterleiten (Portweiterleitung).

Allerdings ist diese Methode nicht sehr sicher, aber immer noch besser, als das QNAP direkt ins Internet zu hängen.

POGO 1104

@Sc00by schrieb:

Dafür musst du den Port 1194 (UDP) auf der IB2 zum NAS weiterleiten (Portweiterleitung).

Allerdings ist diese Methode nicht sehr sicher,……

Darüber kann man diskutieren, ob das “unsicher” ist - was ist denn DIE sichere Alternative?

Ein VPN-Server LAN-seitig der Internetbox MUSS ja per Portforwarding erreichbar sein, da hat man afaik keine andere Möglichkeit, sofern man eine Internetbox als alleiniges CPE verwenden möchte

Werner

@Sc00by

Auf Open VPN Servern ist der Port im Regelfall frei wählbar und dann ist es eben genau nicht empfehlenswert den Default-Port UDP 1194 zu benutzen.

Entscheidet man sich z.B. für so etwas wie UDP 55123 befindet man sich damit erstens nicht mehr Standard-Port-Scanning-Bereich der Internet-Bots und zusätzlich ist von aussen auch nicht mehr an der Portnummer erkennbar, dass dahinter spezifisch ein Open VPN Server steckt, welchen man dann bewusst auf eventuelle Schwachstellen im dabei verwendeten Kommunikationsprotokoll “abklopfen” könnte.

Gegenüber dem Internet möglichst wenig von seinem eigenen Netz bekannt zu geben ist eigentlich immer eine gute Idee 🙂

Sc00by

Das ist richtig, meine Angaben waren für den Standard-Port, welcher natürlich angepasst werden kann und auch sollte. Ging vorallem um die Portweiterleitung, welche auf der IB2 eingerichtet werden muss.

Guter Tipp @Werner

@POGO 1104 aus meiner Sicht eine richtige Firewall wo ich nicht das ganze interne Netzwerk offen habe und mit Firewall Regeln nur die Systeme mit entsprechendem Port öffne und ein richtiges Logging habe. Country Blocking ist auch etwas, worauf ich nicht mehr verzichten möchte, 99,9% der Attacken kommen nicht aus der CH 🙂

POGO 1104

@Sc00by schrieb:

@POGO 1104 aus meiner Sicht eine richtige Firewall wo ich nicht das ganze interne Netzwerk offen habe und mit Firewall Regeln nur die Systeme mit entsprechendem Port öffne und ein richtiges Logging habe. Country Blocking ist auch etwas, worauf ich nicht mehr verzichten möchte, 99,9% der Attacken kommen nicht aus der CH 🙂

Klar, gibts diverse Möglichkeiten….

Aber irgendwie muss man als Privatanwender auch mal “die Kirche im Dorf” lassen….

Jeder so wie er kann znd möchte…..

GrandDixence

@Werner schrieb:

Abgesehen von Deinen aktuellen Problemen ist L2TP eigentlich bereits veraltet und hat auch Security-mässig nicht mehr den besten Ruf

L2TP in Kombination mit IPSEC ist heute bei korrekter Implementierung und Konfiguration eine sichere Lösung für einen VPN-Tunnel auf OSI-Schicht 2.

https://www.elektronik-kompendium.de/sites/net/1410061.htm

https://www.heise.de/hintergrund/VPN-Knigge-270796.html?seite=all

L2TP ohne IPSEC ist eine unsichere VPN-Tunnellösung.

https://www.elektronik-kompendium.de/sites/net/0906131.htm

Wenn es eine herstellerunabhängige und zukunftssichere VPN-Tunnellösung auf OSI-Schicht 3 sein soll, dann ist heute der Einsatz von IKE Version 2 in Kombination mit IPSEC angebracht (IKEv2/IPSEC). Hilfestellung dazu:

https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795

Wenn kein dringender Bedarf an die Übertragung von Datenpakete von Netzwerkprotokollen der OSI-Schicht 2 vorhanden ist (z.B. ARP), sollte die Problematik von OSI Schicht 2-Tunnellösungen vermieden werden und eine VPN-Tunnellösung auf OSI-Schicht 3 realisiert werden. => Nur IP-Datenpakete werden getunnelt und von den Routern weitergeleitet.

Irgendwo habe ich mal gelesen, dass Mobilfunknetzwerkbetreibern wie Swisscom gerne L2TP/IPSEC für die Anbindung der Mobilfunkantennen über unsichere Netzwerkverbindungen an das Kernnetzwerk des Mobilfunks verwenden.

Eine Argumentation gegen den Einsatz von OpenVPN oder Wireguard findet man unter:

https://www.lancom-forum.de/lancom-feature-wuensche-f22/wireguard-t18159.html#p103229

von einem Softwareentwickler/Programmierer. Aber ja, leider ist die grosse Mehrheit der Privatkunden mit der Konfiguration eines VPN-Tunnels per IKEv2/IPSEC schlicht überfordert…

Auf dem Raspberry Pi kann StrongSwan verwendet werden. StrongSwan ist ein mit Schweizer Steuergeldern finanzierte Open Source-VPN-Lösung für IKEv2/IPSEC.

https://de.wikipedia.org/wiki/StrongSwan

Einen Einstieg zum Thema “StrongSwan als VPN-Server auf dem Raspberry Pi” bietet:

https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfaser-neuer-router-t17926.html#p101750

Beim Einsatz von StrongSwan kann das besonders schützenswerte Maschinenzertifikat in einem HSM gelagert werden. Siehe dazu:

https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/adv-vpn-client-und-mfa-t20326.html

Konfigurationsempfehlungen für den Einsatz von IKEv2/IPSEC bietet BSI TR-02102-3:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html

Konfigurationsempfehlungen für den Einsatz eines SSL-VPN (https://de.wikipedia.org/wiki/SSL-VPN) bietet BSI TR-02102-2:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html

https://openvpn.net/vpn-server-resources/change-encryption-cipher-in-access-server/

Klar sollte sein, dass sich jeder VPN-Endpunkt vollständig unter eigener Kontrolle befinden muss. Ein Kabelmodem (hier: Internet Box) ist dank dem Fernkonfigurationsprotokoll TR-069 und den automatischen Firmware-Updates vom Internetanschlussanbieter (ISP) NIE vollständig unter der Kontrolle des Privat- oder Geschäftskunden. Siehe dazu:

https://community.swisscom.ch/t5/Mobile/SIM-SWAP-maximaler-Schutz/m-p/810037#M14267

https://de.wikipedia.org/wiki/TR-069

Sinnvoller als die Verschleierung des vom VPN-Server verwendeten TCP- oder UDP-Ports wäre die Implementierung eines wirkungsvollen Schutzes vor DDoS-Angriffen. Siehe dazu:

- SSL-VPN => TCP SYN floods protection

https://openvpn.net/blog/vpn-prevent-ddos/

https://people.netfilter.org/hawk/presentations/devconf2014/iptables-ddos-mitigation_JesperBrouer.pdf

- IKEv2 => Session Cookie (Cookie-Austausch)

https://www.heise.de/hintergrund/Einfacher-VPN-Tunnelbau-dank-IKEv2-270056.html?seite=all

https://www.lancom-forum.de/viewtopic.php?p=114107

Und ja, bei VPN-Produkten sind alle Sicherheitsupdates immer so schnell wie möglich zu installieren. Einige Firmen sind mit ihren SSL-VPN-Produkten beim Einspielen von Sicherheitsupdates sehr lasch unterwegs:

https://www.heise.de/news/Ivanti-und-Fortinet-Lecks-Weiter-viele-Geraete-verwundbar-auch-CISA-betroffen-9651510.html

Oder die von den Firmen und Behörden eingesetzten SSL-VPN-Produkte von zahlreichen, namhaften Herstellern sind schlicht “per Design” unsicher:

https://www.heise.de/news/US-Regierungsbehoerden-IT-seit-Jahren-durch-chinesische-Angreifer-unterwandert-9624187.html

Miethadeitz39

Hallo Zusammen

Ich danke herzlich für Eure Beiträge.

Mein VPN- und Netzwerk-Wissen ist noch relativ schmal. Zur Zeit fühle ich mich mit der Unsetzung überfordert.

Ich denke, die beste Lösung ist es, nach der IB2 eine VPN-Firewall einzurichten. Da gibt es z.B. Produkte von Zyxel, die mir dafür geeignet scheinen. Die Firewall würde ich dann direkt zwischen der IB2 und dem Heimnetz schalten. So könnte ich dann bei Bedarf mittels WireGuard von meinen Road Warriors aus eine VPN Verbindung aktivieren und z.B. mit dem Windows11-Explorer das NAS Netzlaufwerk einbinden.

Momentan kommen wir von aussen via Browser auf das NAS File-Manager-App und können situativ Dateien runterladen, bearbeiten und hochladen. Ist zwar noch umständlich, doch kann man arbeiten.

Somit schliesse ich diesen Beitrag als gelöst und wende mich zu gegebener Zeit der Umsetzung der komfortableren Lösung zu.

Beste Grüsse und nochmals vielen Dank Euch allen.

Pat