Sarek 11 Geschrieben 9. März 2008 Melden Geschrieben 9. März 2008 Hallo zusammen, ich möchte mehrere Standorte einer Kirchengemeinde miteinander vernetzen. An jedem Standort befindet sich ein Draytek-Router, die Standorte sind über normales DSL (also keine festen IP-Adressen) ans Internet angebunden. Zur Verbindung der Standorte schwebt mir ein LAN2LAN-VPN auf Routerebene vor, was mir den Draytek-Routern ja eigentlich kein Problem ist. Da wir aber keine festen IP-Adressen haben, können wir IPSec mit einer "main mode"-Authentifizierung leider nicht verwenden. Auf der Draytek-WebSite steht jedenfalls, daß man bei Verwendung von DynDNS nur über den "aggressive mode" authentifizieren kann. Über diesen "aggressive mode" habe ich im Internet folgendes gelesen: > Die Identitäten sind im Gegensatz zum Main Mode aber nicht geschützt, > weil keine Verschlüsselung erfolgt. Somit ist der Aggressive Mode > unsicherer, da man beispielsweise den Pre-Shared-Key-Hashwert sniffen > und diesen danach offline knacken kann Wirklich sicher ist diese Methode also offenbar nicht :( Die andere Alternative wäre ein VPN über das PPTP-Protokoll. Auch dort scheint die Authentifizierung aber problematisch zu sein: > Die Authentifizierung und die Aushandlung der Schlüssel sind die > Schwachpunkte von Microsofts PPTP-Implementierung. Die > Authentifizierung beruht auf einem Challenge-Response-Verfahren > (MSCHAPv1), bei der der Windows-Client eine vom Server im Klartext > verschickte Challenge mit einem Passwort verschlüsselt und an den > Server zurückschickt. Was ist jetzt sicherer, PPTP oder IPSec mit einer Authentifizierung im "aggressive mode"? Danke für hilfreiche Hinweise, André
Overon 10 Geschrieben 10. März 2008 Melden Geschrieben 10. März 2008 Also wenn Du einen entsprechend langen und komplexen PSK verwendest, wird derjenige der möglicherweise eventuell und zufälligerweise mitsnifft, wohl keine Chance haben oder als Skelett vor dem PC sitzen, wenn der PC ihn entschlüsselt hat...uhh was ein langer Satz... Also ich würde IPSec immer PPTP vorziehen. Aber berichtigt mich, wenn ich falsch liege... Oder Bintec Router kaufen :-) die fahren Main Mode Gruss Over
Sarek 11 Geschrieben 10. März 2008 Autor Melden Geschrieben 10. März 2008 Oder Bintec Router kaufen :-) die fahren Main Mode Gruss Over Auch in Verbindung mit DynDNS, also ohne statische öffentliche IP-Adressen?
Overon 10 Geschrieben 10. März 2008 Melden Geschrieben 10. März 2008 Also aggressive Mode fährst Du, wenn die IP dynamisch ist. Demnach würde ich sagen - nein - Aber das müsste man ausprobieren
Sarek 11 Geschrieben 10. März 2008 Autor Melden Geschrieben 10. März 2008 Na gut, aber dann brauche ich keinen Bintec-Router. Mit statischer IP unterstützt auch der Draytek den Main Mode ...
IThome 10 Geschrieben 10. März 2008 Melden Geschrieben 10. März 2008 Eventuell doch ein anderes Gerät, denn nur Aggressive Mode mit PSKs ist bedenklich. Aggressive Mode mit Zertifikaten dagegen nicht ...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden