VPN-Update 2021

Aus Portunity Wiki

Wechseln zu: Navigation, Suche

Dieser Artikel beschreibt das empfohlene Vorgehen für Bestandskunden, um eine Verbindung zu der modernen neuen Tunnelplattform herzustellen.

Zu den Hintergründen dieses Updates haben wir auch einen Blog-Beitrag veröffentlicht.

Inhaltsverzeichnis

Empfohlenes Vorgehen

Im Kundenmenü auf service.portunity.net können Sie in der linken Seitenleiste Ihr Tunnel-Produkt auswählen. Der Unterpunkt „Konfiguration“ enthält die neuen Serveradressen für OpenVPN, PPTP und L2TP sowie fertige Konfigurationsdateien für OpenVPN. Wir empfehlen ein vollständiges Überschreiben Ihrer bisherigen Konfiguration durch diese neuen Daten.

Falls Sie OpenVPN nutzen, prüfen Sie bitte auch, ob Updates für das Programm vorhanden sind. Einige Konfigurationsoptionen, die wir in den aktuellen Config-Dateien verwenden, sind in älteren Versionen noch nicht implementiert und werden dann zu Fehlermeldungen führen.


Wegfall alter Benutzernamenformate!

Falls Sie aktuell noch einen Benutzernamen im Format "pty/....." oder "openvpn-pty-....." verwenden, müssen Sie den Benutzernamen in Ihrer Konfiguration ändern!

Die alten Benutzernamenformate haben wir bereits im August 2013 abgekündigt und werden diese noch 2021 abschalten. Nähere Informationen finden Sie hier: Abschaltung alter Tunnelzugangs-Benutzernamen

manuelle Konfigurationsanpassung

Falls eine vollständige Neukonfiguration vermieden werden soll, können Sie bestehende Konfigurationen an das neue System anpassen. Hierfür müssen die auf dieser Seite beschriebenen Änderungen vorgenommen werden.
Da sich die Server-Adressen geändert haben und in neuen IP-Bereichen liegen, ist ggf. eine Anpassung von Firewall-Freigaben oder statischen Routen erforderlich! Details dazu finden Sie im Abschnitt Firewall-Regeln und statische Routen auf dieser Seite.


OpenVPN-Änderungen

  • Die zuvor benötigte „fragment“-Option wird nicht mehr unterstützt und muss aus der Konfigurationsdatei entfernt werden.
  • Bestehende „link-mtu“- oder „tun-mtu“-Einstellungen müssen ersetzt werden durch „tun-mtu 1400“.
  • Falls Sie aus Kompatibilitätsgründen die Zeile „ciphers BF-CBC“ hinzugefügt hatten, sollte diese Zeile nun wieder entfernt und durch „ciphers AES-128-GCM“ ersetzt werden. Falls Sie eine ältere Version von OpenVPN verwenden, steht GCM eventuell nicht zur Verfügung - in diesem Fall können Sie „ciphers AES-128-CBC“ verwenden.
  • Bitte ersetzen Sie den von Ihnen eingetragenen Remote-Hostnamen durch den neuen Hostnamen aus dem Kundenmenü. Der Port 1194 bleibt gleich.
  • In der OpenVPN-Zertifikatsdatei muss möglicherweise das erste der beiden Zertifikate entfernt werden.


L2TP-Änderungen

L2TP wird auch ohne IPSec weiter unterstützt. Der nachfolgende Abschnitt gilt auch für Verbindungen ohne IPSec. Als Serveradresse können Sie "lt2p..." anstelle von "l2tpipsec..." verwenden, um ganz sicher zu gehen; dies macht jedoch keinen Unterschied.


L2TP- und IPSec-Änderungen

Die Konfiguration von L2TP über IPSec ist stark abhängig vom verwendeten Gerät. Wir empfehlen dringend eine vollständige Neukonfiguration mit den Daten aus Ihrem Kundenmenü. Bei der Einrichtung Ihrer IPSec-Verbindung wurden möglicherweise automatisch Werte eingetragen, die schwer nachträglich korrigiert werden können.

Beispielsweise wurde auf manchen Geräten automatisch ein IPv4-Netz, häufig als „Gegenstelle“ bezeichnet, eingetragen. Diese Angabe müsste mit den neuen IP-Netzen ersetzt werden. Die neuen Adressen finden Sie am Ende dieser Seite und auf der Seite Firewall-Freigaben und statische Routen für Tunnel-Aufbau.
Ebenfalls wurden ggf. verfügbare Proposals ermittelt und übernommen, die jetzt nicht mehr gültig sind.


Proposals / Ciphers

Der bisher von uns unterstützte Cipher 3DES sowie die Signaturalgorithmen MD5 und SHA1 werden im Zuge der Umstellung von uns offiziell abgekündigt.
Auch wenn diese aktuell noch funktionieren, können wir keine Garantie für deren zukünftige Funktion geben. Seitens des Herstellers der von uns eingesetzten Software ist ebenfalls bereits eine Abkündigung erfolgt.


PPTP-Änderungen

Der Hostname des neuen Einwahlservers ist im Kundenmenü angegeben.


Firewall-Regeln und statische Routen

Falls in Ihrer Netzwerkumgebung Firewallregeln oder statische Routen notwendig sind, damit die Tunnel-Einwahlserver erreicht werden, müssen diese folgendermaßen angepasst werden:

PPTP

  • IPv4-Präfix für Einwahlserver: 188.246.1.0 /24
  • Port 1723/TCP, Protokoll GRE (Protokollnummer 47)


L2TP

  • IPv4-Präfix für Einwahlserver: 188.246.1.0 /24
  • Port 1701/UDP


L2TP-over-IPsec

  • IPv4-Präfix für Einwahlserver: 188.246.1.0 /24
    Dies ist auch der Adressbereich, der für die IPsec-Gegenstelle verwendet wird (sofern dies manuell konfiguriert werden muss)
  • Port 500/UDP, Port 4500/UDP, ggf. Protokoll ESP (Protokollnummer 50)


OpenVPN (UDP)

  • IPv4-Präfix für Einwahlserver: 188.246.1.0 /24
  • IPv6-Präfix für Einwahlserver: 2a02:a00:1f:: /48
  • Port 1194/UDP


OpenVPN (TCP)

  • IPv4-Präfix für Einwahlserver: 188.246.1.0 /24
  • IPv6-Präfix für Einwahlserver: 2a02:a00:1f:: /48
  • Port 443/TCP
Persönliche Werkzeuge