Sarek 11 Posted March 9, 2008 Report Posted March 9, 2008 Hallo zusammen, ich möchte mehrere Standorte einer Kirchengemeinde miteinander vernetzen. An jedem Standort befindet sich ein Draytek-Router, die Standorte sind über normales DSL (also keine festen IP-Adressen) ans Internet angebunden. Zur Verbindung der Standorte schwebt mir ein LAN2LAN-VPN auf Routerebene vor, was mir den Draytek-Routern ja eigentlich kein Problem ist. Da wir aber keine festen IP-Adressen haben, können wir IPSec mit einer "main mode"-Authentifizierung leider nicht verwenden. Auf der Draytek-WebSite steht jedenfalls, daß man bei Verwendung von DynDNS nur über den "aggressive mode" authentifizieren kann. Über diesen "aggressive mode" habe ich im Internet folgendes gelesen: > Die Identitäten sind im Gegensatz zum Main Mode aber nicht geschützt, > weil keine Verschlüsselung erfolgt. Somit ist der Aggressive Mode > unsicherer, da man beispielsweise den Pre-Shared-Key-Hashwert sniffen > und diesen danach offline knacken kann Wirklich sicher ist diese Methode also offenbar nicht :( Die andere Alternative wäre ein VPN über das PPTP-Protokoll. Auch dort scheint die Authentifizierung aber problematisch zu sein: > Die Authentifizierung und die Aushandlung der Schlüssel sind die > Schwachpunkte von Microsofts PPTP-Implementierung. Die > Authentifizierung beruht auf einem Challenge-Response-Verfahren > (MSCHAPv1), bei der der Windows-Client eine vom Server im Klartext > verschickte Challenge mit einem Passwort verschlüsselt und an den > Server zurückschickt. Was ist jetzt sicherer, PPTP oder IPSec mit einer Authentifizierung im "aggressive mode"? Danke für hilfreiche Hinweise, André Quote
Overon 10 Posted March 10, 2008 Report Posted March 10, 2008 Also wenn Du einen entsprechend langen und komplexen PSK verwendest, wird derjenige der möglicherweise eventuell und zufälligerweise mitsnifft, wohl keine Chance haben oder als Skelett vor dem PC sitzen, wenn der PC ihn entschlüsselt hat...uhh was ein langer Satz... Also ich würde IPSec immer PPTP vorziehen. Aber berichtigt mich, wenn ich falsch liege... Oder Bintec Router kaufen :-) die fahren Main Mode Gruss Over Quote
Sarek 11 Posted March 10, 2008 Author Report Posted March 10, 2008 Oder Bintec Router kaufen :-) die fahren Main Mode Gruss Over Auch in Verbindung mit DynDNS, also ohne statische öffentliche IP-Adressen? Quote
Overon 10 Posted March 10, 2008 Report Posted March 10, 2008 Also aggressive Mode fährst Du, wenn die IP dynamisch ist. Demnach würde ich sagen - nein - Aber das müsste man ausprobieren Quote
Sarek 11 Posted March 10, 2008 Author Report Posted March 10, 2008 Na gut, aber dann brauche ich keinen Bintec-Router. Mit statischer IP unterstützt auch der Draytek den Main Mode ... Quote
IThome 10 Posted March 10, 2008 Report Posted March 10, 2008 Eventuell doch ein anderes Gerät, denn nur Aggressive Mode mit PSKs ist bedenklich. Aggressive Mode mit Zertifikaten dagegen nicht ... Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.