OPNsense Forum

International Forums => German - Deutsch => Topic started by: Andreas on September 12, 2015, 11:31:39 pm

Title: Softether - Erfahrungen und Integration in OPNSense
Post by: Andreas on September 12, 2015, 11:31:39 pm
Hi,
jemand bereits Erfahrung mit Softether und wie sieht es mit dieser VPN Variante in OPNSense aus?

Danke
Andreas
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: Zeitkind on September 13, 2015, 01:51:28 am
Da gibt's nicht viel zu sagen, da Softether ein kompletter VPN-Server ist. Würde sich also beißen mit allen gängigen Firewall-Lösungen, egal ob unter FreeBSD oder Linux. Der Softether-Server kommt mit SoftEther VPN, OpenVPN, L2TP/IPsec, MS-SSTP, L2TPv3/IPsec und EtherIP/IPsec, was zwar nett für ein reines VPN-Gateway ist, aber weniger sinnvoll für eine universelle Firewall a la OPNsense, IPCop etc.
Hat nette Sachen dabei wie VPN over ICMP oder VPN over DNS, aber das ganze Ding ist halt voll auf einen reinen VPN-Server zugeschnitten, der möglichst alles durchtunneln können soll. Eigene Erfahrung: war instabil auf einem Debian, ergo unbrauchbar.
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: franco on September 13, 2015, 08:26:22 am
Wir haben jemanden der es manuell baute und benutzt auf OPNsense. Mit 15.7.12 ist das brandneue FreeBSD Paket auch mit OPNsense bereitgestellt. Ich hoffe es gibt bald ein Tutorial zur Benutzung die dann als Grundlage für dein richtiges Plugin dienen kann. Es kommt also nicht in die Standardinstallation, aber kann genutzt werden wenn es denn so gewollt ist. :)
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: Andreas on September 13, 2015, 11:22:27 am
Danke,
was spricht gegen den "vollen" Support von eurer Seite gegen Softether? Also das es nicht in die Standardinstallation kommt?

Grüße
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: franco on September 13, 2015, 11:40:11 am
Die Standardinstallation soll wieder kleiner werden. Mit Plugins lässt sich ab 16.1 alles nachladen was fehlt. Support gibt es wenn es ein offizielles Plugin ist natürlich auch.
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: phoenix on September 13, 2015, 01:35:22 pm
I installed the SoftEther build yesterday after upgrading and I'm in the process of documenting my exploits with the package - it should be posted later today or tomorrow. :) Sorry about my lack of German (I have enough trouble with French) but here's a google translation.

Ich habe gestern installiert die SoftEther build nach dem Upgrade und ich bin in den Prozess der Dokumentation meiner Exploits mit dem Paket - es sollte später heute oder morgen veröffentlicht werden
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: Andreas on September 13, 2015, 02:34:17 pm
Thanks!
Let me ask how is your experience with this kind of VPN? Got some Advantages in relation to openvpn?
will you make a plugin later for the 16.1 Version of OPNSense?
Franco says that they will reduce the standard package of OPNSense and that plugins will be needed for some features like softether - so will you write an plugin?

thx
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: Zeitkind on September 13, 2015, 05:45:16 pm
Danke,
was spricht gegen den "vollen" Support von eurer Seite gegen Softether? Also das es nicht in die Standardinstallation kommt?
Vieles denke ich. Wie schon erwähnt ist Softether ein "Komplettpaket", also gibt es massig Überschneidungen und mögliche Konflikte. Zwar kann man einem erfahrenen Admin zutrauen, so ein Paket selbst zu installieren und auf Konflikte zu achten, aber sicher hat das m.E. nichts in einer Standardinstallation zu suchen.
Mal gelesen?
http://www.linux-magazin.de/Ausgaben/2014/06/Softether
Wenn schon, dann sollte man einen VPN-Server mit Softether *hinter* einem OPNsense betreiben, aber nicht *auf* einem..
justmy2pfennings..

Wenn, dann wäre ein Plugin/Addon für Microsofts SSTP sinnvoll. Ich sehe nicht wirklich einen Sinn darin, in OPNsense VPN-Varianten zu integrieren, deren Hauptziel zu sein scheint, unbemerkt durch Firmenfirewalls zu tunneln. Sowas mag in Ländern mit restritiven Regimen sinnvoll sein, aber eben auch nur dort.
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: franco on September 13, 2015, 10:41:46 pm
Ein schöner Artikel. Erinnert ein wenig an systemd, einer für alle, alles im Eimer. ;)

Das FreeBSD Paket ist fix und fertig mit Binaries, Installationsaufwand praktisch null. Das soll nicht heißen, dass man es benutzen sollte, aber es ist da, wenn es sein muss. Auswahl ist gut. Und wenn es in FreeBSD ist, warum nicht aufnehmen bevor jemand zu sehr mit basteln beginnt an seiner OPNsense.
Title: Re: Softether - Erfahrungen und Integration in OPNSense
Post by: Zeitkind on September 13, 2015, 11:32:28 pm
Naja, es gibt es halt nicht in Einzelteilen. Eierlegende Wollmilchsäue haben die Tendenz viele Fehler zu enthalten und das Problem, daß die einzelnen Teile zwar aufeinander abgestimmt aber kaum verträglich mit "fremden" Elementen sind. OpenVPN, L2TP und IPSec doppelt, Userverwaltung doppelt inkl. Anbindung an Radius etc. pp.
Nene, entweder man nimmt das Gesamtpaket und hängt eine Kiste damit hinter 'ne Firewall, oder man nimmt eine Firewall mit zwar weniger, dafür aber aufeinander abgestimmten Funktionen. IMHO. Oder läßt die FW und den VPN-Server als VMs auf einer Kiste laufen, wobei ich kein Freund bin von Firewall-VMs.
Aber wie schon erwähnt, SSTP oder auch L2TPv3 als quasi MPLS wären nice to have. Aber das Tunnel-versteck-dich-Gedöns ist wohl eher was für Kiddies und muss nicht wirklich sein. OpenVPN mit TLS/TCP kann man auch auf Port 443 fahren, das reicht zu 99% aller Fälle um durch restriktivere Firewalls zu kommen.