Fritz!Box VPN - sicher?

[bart77]

Hallo Zusammen,

ich bin neu in der Community und richte mich mit einer Frage an euch, die ich mit Hilfe von google nicht adäquat beantworten konnte.
Derzeit läuft bei mir die Fritz!Box 7560 und dahinter meine Rechner sowie ein NAS (QNAP). Auf dem NAS läuft ein Webserver (Intranet).
Nun möchte ich mich gern von außen auf mein Intranet via VPN verbinden. Das läuft auch gut. Nur mache ich mir um die Sicherheit meiner
Daten Gedanken. Daher meine Frage, wie sicher ist mein NAS sowie die anderen "Endgeräte" hinter dem VPN Server der Fritz!Box?

Lieben Dank und beste Grüße

Bart

 

[blurrrr]

Hi,

ziemlich sicher, solange Du nicht PPTP oder extrem veraltete (und somit schwache) Cipher. Da die Geräte aber vermutlich alle recht aktuell sein sollten, haben sich die Hersteller schon um veraltete Dinge gekümmert (entfernt) und somit sollte das schon passen. Fakt ist: Es kochen alle nur mit Wasser

 

[bart77]

ziemlich sicher, solange Du nicht PPTP oder extrem veraltete (und somit schwache) Cipher.

Hi blurrrr und vielen Dank für die schnelle Antwort. Wo sehe ich das in der Fritz!Box? Die 7560 ist immer auf dem neusten Firmware stand. Von meinem Mac verbinde ich mich mit dem "hauseigenen" Client.

 

[blurrrr]

Das "siehst" Du so erstmal garnicht auf der Fritz!Box (soweit ich weiss), eventuell siehst Du es beim Mac-Client in den Logs (je nachdem, wie ausführlich die Protokollierung ist). Es kommt auch darauf an, welche Art von VPN Du nutzt. Die Fritz!Box unterstützt sowieso nur "IPSec" und "Wireguard" (also PPTP ist da eh schon raus). IPSec ist seit Ewigkeiten "Standard", dazu gesellt sich noch OpenVPN (unterstützt die Fritz!Box nicht) und "relativ" neu ist Wireguard (wobei es das nun auch schon länger gibt).

 

[bart77]

Das "siehst" Du so erstmal garnicht auf der Fritz!Box (soweit ich weiss), eventuell siehst Du es beim Mac-Client in den Logs (je nachdem, wie ausführlich die Protokollierung ist). Es kommt auch darauf an, welche Art von VPN Du nutzt. Die Fritz!Box unterstützt sowieso nur "IPSec" und "Wireguard" (also PPTP ist da eh schon raus). IPSec ist seit Ewigkeiten "Standard", dazu gesellt sich noch OpenVPN (unterstützt die Fritz!Box nicht) und "relativ" neu ist Wireguard (wobei es das nun auch schon länger gibt

Ist Wireguard sicherer? Ich hab gelesen, dass es sich nur in der Einrichtung unterscheidet. Stimmt das?

 

[blurrrr]

Genau, was das "sicherer" angeht... IPSec hat halt mehr Auswahl und wenn man da dann eher in die unteren Schubladen greift, kann sowas auch unsicher sein. Diese Entscheidung hat Dir der Fritz!Box-Hersteller AVM aber schon abgenommen. Es kommt aber sicherlich auch darauf an, in welchem Kontext man was benutzen möchte. Schau z.B. mal hier rein: https://docs.ionos.com/cloud/network-services/vpn-gateway/overview/wireguard-vs-ipsec. IPSec ist halt nach wie vor "Standard" bei großen Firmen, wird i.d.R. von den Mobile-Device-Management-Lösungen unterstützt (damit hast Du als Privatanwender eher nichts am Hut), womit man dann auf Mobilgeräte z.B. direkt eine VPN-Konfiguration ausrollen kann, usw. Es kommt halt primär auf den Anwendungsfall an. Viele Privatanwender (zumindestens schätze ich das so ein, nachdem was ich bisher so gelesen habe) nutzen aktuell wohl eher bevorzugt Wireguard, da es auch einfacher einzurichten ist - auch, wenn man mal von den "klick klick fertig"-Lösungen absieht. Bei IPSec gibt es halt eine Menge zu wissen und zu beachten, dagegen ist Wireguard dann eher leichtgewichtig.

 

[bart77]

Perfekt, dann werde ich mal eine Box mit Wireguard anschaffen ;-) denn meine Daten möchte ich nicht im Netz "verteilen"

 

[the other]

Moinsen,

Bei IPSec gibt es halt eine Menge zu wissen und zu beachten, dagegen ist Wireguard dann eher leichtgewichtig.

Wobei das Einrichten von IPsec auf der fritzbox ja sehr übersichtlich gehalten ist. Am Ende kein Vergleich zur Einrichtung, wenn quasi alles selbst konfiguriert werden muss. Die fritzbox nimmt dir da viel ab. Dementsprechend übersichtlich ist die Anleitung dazu auch: https://www.heimnetz.de/anleitungen...pn-server-fuer-die-client-einwahl-einrichten/

 

[bart77]

Moinsen,


Wobei das Einrichten von IPsec auf der fritzbox ja sehr übersichtlich gehalten ist. Am Ende kein Vergleich zur Einrichtung, wenn quasi alles selbst konfiguriert werden muss. Die fritzbox nimmt dir da viel ab. Dementsprechend übersichtlich ist die Anleitung dazu auch: https://www.heimnetz.de/anleitungen...pn-server-fuer-die-client-einwahl-einrichten/

Hi the other,

wenn sich die beiden in der Einrichtung kaum unterscheiden, dann kann ich ja auch bei meiner aktuellen Box bleiben. IPsec scheint ja sogar sicherer zu sein. Am liebsten wäre es mir, wenn man zusätzlich noch mit der 2FA arbeiten könnte. Aber das schein AVM, zumindest für die Einwahl via VPN, noch nicht implementiert zu haben.

 

[the other]

Moinsen,
Eine gute Idee, mit der fritzbox aber derzeit (noch?) nicht angeboten.
Du kannst aber ja die Geräte im Heimnetz damit absichern, zumindest wo möglich (NAS Admin Zugang, ggf user).
Ich habe zb hier am NAS für den admin account zusätzlich passkey und 2fa per TOTP aktiv. Da ubuntu selbst kein auth mit passkeys anbietet, werden yubikeys genutzt. Geräte ohne diese Option haben unterschiedliche unf komplexe Passwörter. Der ssh Zugriff gelingt nur via public key Verfahren (plus Keyphrase).
Da mein vpn über die pfsense läuft, konnte ich dort deine Idee schon vor einiger Zeit umsetzen. VPN Zugriff nur mit passwort und TOTP Eingabe.
Am Ende alles nur aus Spieltrieb, wirklich benötigen tu ich das für meine CD Sammlung und alten Fotos nicht, und die analogen Aktenordner sind hier auch nicht im Panzerschrank....also auch immer an den verbundenen Aufwand denken und manche*r hat sich auch schon selber ausgesperrt. Und dann muss Plan b vorhanden sein und laufen. sonst ist Essig...

 

[bart77]

Vermutlich hast du recht und ich sehe es etwas paranoid. Meine NAS läuft auch mit 2fa. Und zunächst muss man erstmal das VPN knacken und dann die NAS. Da diese nicht durchgängig läuft, sollte es sich als recht große Hürde rausstellen ;-)

 

[the other]

Moinsen,
Eben. Einfach schauen, dass für die fritzbox immer das je aktuellste update da ist. Gutes Passwort. Das ist dann schon mal was.
Zusätzlich die NAS eigene Firewall anpassen, so dass ein vpn User zb nur eingeschränkt Dienste nutzen kann. Und dazu diesem noch eingeschränkt Datei Rechte vergeben, dann hast du mit Hausmitteln schon viel erreicht für ein Heimnetz, sage ich mal so.
Und wenn das komplexer wird (100 IoT Dinge), dann kann immer noch neu überlegt werden...

 

[bart77]

yep, danke