@Haldenwolf schrieb: [...] Beim gelösten Problem fehlt mir deshalb das Wissen begründen zu können, warum die Einstellung so sein muss, da es für mich unsicher tönt.
Könnte mich freundlicherweise Jemand ein wenig Aufklären? 🙂
Und könnte man nicht auch das Häckchen bei "Microsoft CHAP Version 2...." machen?
VPN mit der Internetbox funktioniert nur mit den genannten Einstellungen, dh. PAP für die Userauthentifizierung.
Das ganze Prozedere mit dem Aufbau des VPN ist z.B. bei Checkpoint recht ausführlich beschrieben. Wie du dort siehst, wird als erstes ein IPsec-Tunnel aufgebaut. Im Fall der Internetboxen werden dazu keine Zertifikate sondern ein Pre-Shared Key verwendet. Darum ist es wichtig, dass du dafür einen starken Key verwendest (dh. möglichst lang und wirklich zufällig). Wenn dieser IPsec-Tunnel steht, wird darüber per PAP der User authentifiziert. Dh. das unverschlüsselte Passwort wird durch einen verschlüsselten Tunnel übertragen und kann daher von allfälligen Mithörern nicht mitgelesen werden.
Klar wäre MS-CHAPv2 schöner, da noch ein zusätzlicher Sicherheitslayer, aber eben. Wenn du für die Userauthentifizierung auch ein langes, zufälliges und einmaliges Passwort verwendest (und ggf. noch mit einem zufälligen Usernamen ergänzt), hast du auch noch eine zusätzliche Sicherheitsstufe eingebaut.
Und wenn es noch sicherer sein soll, nimm OpenVPN auf einem NAS, Raspi, whatever.
Mehr anzeigen