VPN mit Netgear Router hinter FB 6490

[erwi5]

Bei mir hängt der Netgear per LAN Kabel an der FB. Wlan an der FB ist aus und kein weiteres Gerät per Kabel angeschlossen.
Im Netgear finde ich keine Option den VPN Zugang per Login zu schützen!

[erwi5]

Schade. Irgendwie gefällt mir der R7000 dadurch nicht mehr.

@Onslaught
Welchen Asus hast du?

[reneromann]

Was genau willst du denn per Passwort schützen? Den VPN-Zugang?
Da musst du den privaten Schlüssel (key-Datei) mit einem Schlüssel versehen!

Oder etwa den Router-Login, nachdem das VPN aufgebaut ist?
Dann musst du den "normalen" Router-Login mit Passwort versehen.
Weil in dem Moment, wo das VPN steht, hängst du in deinem lokalen Netz drin!

Eine Option, den VPN-Zugang per Passwort am Router zu schützen, ist sinnlos.
Entweder man hat die benötigten Zugangsdaten -sofern es sich um einen Zugang mit Benutzername/Passwort handelt, wie z.B. bei PPTP/IPSec; oder eben halt das benötigte Zertifikat mit privatem Schlüssel, das Benutzername/Passwort ersetzt, weil der Benutzername im Zertifikat steckt und der private Schlüssel quasi ein Kennwort ist- oder man hat sie nicht.

[Onslaught]

Ich hab den rt-ac68u. Nicht das neuste Modell aber dafür solide.

Das Wlan-AC is deutlich schneller als das der fritte.

hab noch einen rt-ac87-u von asus der ist, war aber noch unausgereift.

Gibt noch neuere Modelle von Asus, einfach mal auf deren Homepage schauen.

Du hast bei den Asus Modellen auch die Möglichkeit custom firmwares zu betreiben. Ich Nutze hier die Firmware von Merlin. Das basiert weiterhin auf der Ausus-wrt (originalen Firmware) aber mit durchaus besseren und sinnvolleren Erweiterungen.

Kannst dich ja mal informieren.

[Onslaught]

angehängt ein screenshot mit den möglichen erweiterten Einstellungen....

[img]http://www.bilder-hosting.info/vorschau ... 82822g.jpg[/img]

Zur Erklärung im screenshot:

Bei dem Punkt username Password auth. wenn hier ja: benötigt wird sowohl das client Zertifikat + Username und Passwort (!)

wenn zusätzlich Nur Username und Passwort auth. angehakt: Es wird kein Client Zertifikat benötigt, lediglich das Serverzertifikat.

Also wenn nur die erste variante ausgewählt: Benötigt man das client Zertifikat + Benutzer und Passwort (echte 2 Faktor Anmeldung)!

Es macht also durchaus sinn Benutzer und Passwort vergeben zu können.

Gerne auch hier Nachlesen: https://openvpn.net/index.php/open-sour ... tml#pkcs11

Und zum Thema Sinnhaftigkeit: DIr klaut jemand das Smartphone, darauf eingerichtet dein VPN also mit Zertifikat. Derjenige könnte dann munter dein Netzwerk durchstöbern. Viel Spaß.
Bei meiner Konfig: Er hat dein Smartphone, logischerweise auch dein Zertifikat, aber Benutzer und Passwort hat er nicht --> VPN bleibt sicher.

Wenn dir diese Möglichkeiten der Zertifizierung schon gar nicht erst bereitgestellt werden weil solche Optionen fehlen, is halt doof.

Ob das in der regulären Asus-wrt so ist kann ich mich nicht dran erinnern da ich schon seit ich Asus router nutze die Merlin Asus-wrt benutze.

[erwi5]

Danke.
Wenn jemand angenommen ins Netzwerk kommt mit den gestohlenen Phone, kann dieser doch nichts wirklich dort machen? Routerzugänge haben Passwortschutz, USB Festplatte ebenso?

[Onslaught]

Das war ja auch nur mal als hypothetisches Beispiel gedacht.

Aber gehen wir mal vom worst case scenario aus.

Dir klaut einer dein Smartphone, knackt das, kommt in dein Netzwerk und macht sich da da breit.

Was glaubst du wenn einer dein smartphone knacken kann, schrecken ihn dann deine Passwörter im heimischen Netzwerk ab??

Du musst dein Netzwerk so sichern, es gilt immer die Devise: Dein gegenüber hat mehr drauf als du, und so würde ich dann absichern.

Jemand der böses im Schilde führt entwickelt ungeahnte kriminelle Energie wenn sich damit Geld machen lässt.

Ausserden, viele haben in ihrem Heimnetzwerk freigaben eingerichtet.....

[erwi5]

Ich bleibe jetzt erst mal bei der Fritte VPN. Der Speed ist nun bei ca. 1,5 mbit nach Änderung im Phone und das Sicherheitskonzept gefällt mir besser.
Nur leider komme ich damit nicht auf meine USB Festplatte, welche am R7000 angeschlossen ist und welche fürs Netzwerk freigegeben ist (SMB). Wenn ich per Fritte VPN verbunden bin ist kein Zugriff auf die USB Platte möglich, per Netzwerksuche ist nichts zu finden vom Netgear SMB Server?
Da der USB Anschluß der Fritte zu lahm ist, muß die USB Platte am R7000 bleiben.
Es gibt noch Möglichkeiten per FTP oder HTTP, allerdings wäre mir die obrige Variante lieber.

[reneromann]

Ich bleibe jetzt erst mal bei der Fritte VPN. Der Speed ist nun bei ca. 1,5 mbit nach Änderung im Phone und das Sicherheitskonzept gefällt mir besser.
Nur leider komme ich damit nicht auf meine USB Festplatte, welche am R7000 angeschlossen ist und welche fürs Netzwerk freigegeben ist (SMB). Wenn ich per Fritte VPN verbunden bin ist kein Zugriff auf die USB Platte möglich, per Netzwerksuche ist nichts zu finden vom Netgear SMB Server?
Da der USB Anschluß der Fritte zu lahm ist, muß die USB Platte am R7000 bleiben.
Es gibt noch Möglichkeiten per FTP oder HTTP, allerdings wäre mir die obrige Variante lieber.

Ist ja auch kein Wunder...
In dem Moment, wo du den R7000 als Router betreibst und die Fritte an den WAN-Port hängst, ist das Fritz-VPN für den R7000 wie ein Internetzugriff. Der kann nicht unterscheiden, ob das vom Internet-Internet kommt -oder- ob es vom Fritz-VPN kommt, ergo macht der R7000 (berechtigterweise) dicht. Solltest du hingegen auf die ziemlich idiotische Idee gekommen sein, beim R7000 die Ports für den Heimnetzzugriff "freizuschalten" -UND- den R7000 als Exposed Host in der Fritz eingetragen haben, hast du erfolgreich beide Firewalls ausgehebelt.

Und noch was: So gut wie kein VPN leitet das NETBIOS-Protokoll "vernünftig" weiter. Dementsprechend ist eine Namensauflösung und eine Netzwerksuche unter Windows nicht möglich.
Hingegen kann per IP direkt auf die Ressourcen des anderen Netzes zugegriffen werden, weil dabei das NETBIOS-Protokoll nicht benutzt wird.

[Onslaught]

Ich bleibe jetzt erst mal bei der Fritte VPN. Der Speed ist nun bei ca. 1,5 mbit nach Änderung im Phone und das Sicherheitskonzept gefällt mir besser.
Nur leider komme ich damit nicht auf meine USB Festplatte, welche am R7000 angeschlossen ist und welche fürs Netzwerk freigegeben ist (SMB). Wenn ich per Fritte VPN verbunden bin ist kein Zugriff auf die USB Platte möglich, per Netzwerksuche ist nichts zu finden vom Netgear SMB Server?
Da der USB Anschluß der Fritte zu lahm ist, muß die USB Platte am R7000 bleiben.
Es gibt noch Möglichkeiten per FTP oder HTTP, allerdings wäre mir die obrige Variante lieber.

Wobei ich dazu sagen würde das der Durchsatz wahrscheinlich höher wäre wenn du das über den Netgear machen würdest. Mußt du aber testen.

Zusätzlich hättest du das Problem der Festplatte gelöst.

Aber wenn dir das über die fritte besser gefällt....