SSH-Tunnel vs. VPN-Tunnel

[teret4242]

Hallo,

worin besteht der Unterschied zwischen einem SSH-Tunnel und einem VPN-Tunnel?


Gruß

[Cae]

Zunaechst mal konzeptionell, ein SSH-Tunnel ein Feature das SSH-Protokolls; VPN definiert nur, dass irgendeine Software ein lokales Netz ueber ein nicht-lokales Netz tunnelt und dort transparent zur Verfuegung stellt. Entsprechend gibt's unterschiedlich(e) (grausige) Protokolle und Implementationen, angefangen bei IPsec ueber OpenVPN zu Tinc. Typischerweise nimmt man einen SSH-Tunnel, um einen oder wenige Ports von irgendwo nach irgendwo "weiterzuleiten" (arbeitet also auf OSI-Layer 4). Prinzipiell geht das auch auf Layer 3 (IP, ICMP) oder Layer 2 (komplette Ethernet-Frames, ARP), allerdings ist das eher die Domaene von "klassischen" VPNs.

Da du mit deiner Frage Aepfel mit Birnen vergleichst: Was willst du tunneln?

Gruss Cae

[spiralnebelverdreher]

worin besteht der Unterschied zwischen einem SSH-Tunnel und einem VPN-Tunnel?

Benutzung des VPN-Tunnels bedeutet, dass dein Rechner Teil eines anderen (virtuellen) Netzwerkes wird und alle Kommunikation deines Rechners in diesem Netzwerk stattfindet.
Ein ssh-Tunnel koppelt deinen Rechner mit einem zweiten Rechner, aber das nur für bestimmte Protokolle. Ein zweiter ssh-Tunnel könnte gleichzeitig deinen Rechner (für andere Protokolle) mit einem dritten Rechner verbinden ohne dass der dritte Rechner den zweiten Rechner erreichen kann.

[peschmae]

Finde ich eine gute Frage, ich wundere mich auch wieso SSH nicht viel mehr für VPN-Zwecke (worunter ich jetzt sowas wie IP/Layer 3 tunneling verstehe) benutzt wird. Die Frage die man typischerweise hört ist tatsächlich immer IPSec vs OpenVPN oder so...

Je nach dem wo du sitzt wird auch nur eines davon nach aussen zugelassen (z.B. OpenVPN oder IPSec nicht aber SSH). Daher in meinem Falle OpenVPN...

SSH geht halt immer über TCP (eher ungeschickt, weil TCP über TCP zu unschönen Aufschaukeleffekten führen können soll, wenn Pakete verloren gehen und dann TCP auf beiden Ebenen Pakete nachfordert), währenddem die meisten VPNs über UDP laufen (OpenVPN) oder eigenen Krams machen auf Layer 2 (IPSec).

[Edit]Oh, da stehen ja schon zwei Antworten. Frag man sich aufgrund der spärlichen Frage nur ob wir da auf dem richtigen Komplexitätslevel eingestiegen sind [/Edit]

MfG Peschmä

[uname]

Um einzelne Ports weiterzuleiten ist in der Regel SSH ganz gut und vor allem einfach, da auf das ganze TUN- und TAP-Zeug verzichtet werden kann. Auch braucht man dafür in der Regel keine root-Berechtigung. SSH kann jedoch mittlerweile über die Option "-w:" auch TUN-Devices nutzen. Habe ich jedoch noch nicht probiert. Aber damit sollten sich dann auch ganze Netze routen lassen.

[Colttt]

Die Frage die man typischerweise hört ist tatsächlich immer IPSec vs OpenVPN oder so..

na dann erzähl mal.. vor allem was wo vorteile hat und warum man nicht einfach immer OpenVPN nimmt.. und was ist sichererererer?!

[peschmae]

na dann erzähl mal.. vor allem was wo vorteile hat und warum man nicht einfach immer OpenVPN nimmt.. und was ist sichererererer?!

Die Diskussion ist irgendwie etwas abgelutscht ohne einen klaren Sieger.

IPSec auf Linux ist eher komplex zu konfigurieren und braucht Firewall-Unterstützung, dafür gibts breite Herstellerunterstützung [mit eigenen inkompatiblen Erweiterungen] und das Dings läuft im Kernelspace und performt deswegen angeblich besser. Sicherheitsbedenken typscherweise im Zusammenhang mit der hohen Komplexität oder aber einer konkreten Implementierung bei der der Hersteller gepennt hat, aber nichts wirklich greifbares.

IPSec benutze ich nur wenn ich auf etwas Zugreifen muss wo das halt läuft und mich keiner fragt. Oder wenn ich aus einem zutodegefirewalleden Netz nur damit rauskomme.

OpenVPN ist einfach konfiguriert, läuft einfach so über UDP und es gibt mittlerweile auch gute Unterstützung allenthalben. Performt angeblich besser als IPSec weil weniger kompliziert.
Habe ich aber noch nie in einer wirklich grossen Installation gesehen - keine Ahnung wie das skaliert und so. Die meisten grossen Netze die ich kenne haben sich halt so ein Cisco-Dingens gekauft was IPSec macht und gut ist (mehr oder weniger).

SSH basiertes TUN/TAP VPN ist am einfachsten konfiguriert weil ssh eh schon eingerichtet ist..., hat aber noch nie einer ausprobiert
Ist aber wohl am allerallersicherstesten weil man das ja eh mit drauf hat und man sich damit also nicht noch zusätzliche Sicherheitslöcher an Bord holt.

MfG Peschmä

[wanne]

Ich würde sagen, dass SSH die so die quick and dirty Lösung für ich will schnell mal ... ist, da leicht als User zu konfigurieren. Und eigentlich von keiner Firewall gefiltert wird. Dafür ist es sehr inperformant. Sicherheitstechnisch würde ich auch keine großen Unterschiede sehen.

[peschmae]

Dafür ist es sehr inperformant.

Ist das eine Vermutung (würde ich ja auch vermuten, aber wer weiss...) oder hast du das mal ausprobiert?

MfG Peschmä

[Colttt]

Habe ich aber noch nie in einer wirklich grossen Installation gesehen - keine Ahnung wie das skaliert und so. Die meisten grossen Netze die ich kenne haben sich halt so ein Cisco-Dingens gekauft was IPSec macht und gut ist (mehr oder weniger).

Das mir bekannte größte ist die Charité in Berlin, die nutzen dort OpenVPN

[teret4242]

Zunaechst mal konzeptionell, ein SSH-Tunnel ein Feature das SSH-Protokolls; VPN definiert nur, dass irgendeine Software ein lokales Netz ueber ein nicht-lokales Netz tunnelt und dort transparent zur Verfuegung stellt. Entsprechend gibt's unterschiedlich(e) (grausige) Protokolle und Implementationen, angefangen bei IPsec ueber OpenVPN zu Tinc. Typischerweise nimmt man einen SSH-Tunnel, um einen oder wenige Ports von irgendwo nach irgendwo "weiterzuleiten" (arbeitet also auf OSI-Layer 4). Prinzipiell geht das auch auf Layer 3 (IP, ICMP) oder Layer 2 (komplette Ethernet-Frames, ARP), allerdings ist das eher die Domaene von "klassischen" VPNs.

Da du mit deiner Frage Aepfel mit Birnen vergleichst: Was willst du tunneln?

Gruss Cae

Vorerst will ich mal noch gar nichts tunneln, dazu muss ich erstmal verstehen wie das genau funktioniert, sonst macht das wenig sinn

Was versteht man denn überhaupt unter "tunneln"?

Ist das wenn man für das eigentliche Protokoll das man verwenden möchte ein anderes Protokoll benützt, mit dem das zu verwendete Protokoll übertragen wird? Bsp.: Aufruf einer Webseite mit HTTP // Übertragungsprotokoll: SSH

Würde in diesem Beispiel ein Tunnel zustandekommen, der via SSH die Daten transportiert, aber die eigentliche Website mit HTTP aufgerufen wird?

[peschmae]

Ja, kann man so sagen. Nur um das noch zu präzisieren: Was an der Stelle über SSH übertagen wird (je nach dem wie dein ssh-Aufruf genau aussieht - ich gehe mal von einem SSH Port-Forwarding oder Socks-Proxy aus) ist die TCP-Verbindung, in der der HTTP-Aufruf drinsteckt.

Ich denke mal Tunneling sagt man immer dann, wenn man die Ebenen des OSI-Modells frischfröhlich durcheinander mixt.

Also nicht HTTP (OSI Modell Layer 5) auf TCP (4) auf IP (3) auf Ethernet (2,1) wie normal, sondern z.B. HTTP (5) auf TCP (4) auf SSH (5) auf TCP (4) auf IP (3) auf Ethernet (2,1).

MfG Peschmä

[teret4242]

Ja, kann man so sagen. Nur um das noch zu präzisieren: Was an der Stelle über SSH übertagen wird (je nach dem wie dein ssh-Aufruf genau aussieht - ich gehe mal von einem SSH Port-Forwarding oder Socks-Proxy aus) ist die TCP-Verbindung, in der der HTTP-Aufruf drinsteckt.

Ich denke mal Tunneling sagt man immer dann, wenn man die Ebenen des OSI-Modells frischfröhlich durcheinander mixt.

Also nicht HTTP (OSI Modell Layer 5) auf TCP (4) auf IP (3) auf Ethernet (2,1) wie normal, sondern z.B. HTTP (5) auf TCP (4) auf SSH (5) auf TCP (4) auf IP (3) auf Ethernet (2,1).

MfG Peschmä

Okay, dann wär also eine normale SSH-Verbindung kein Tunnel sondern nur wenn über SSH andere Protokolle transportiert werden dann ist die Rede von einem "Tunnel" ??

Grüße

[wanne]

Okay, dann wär also eine normale SSH-Verbindung kein Tunnel sondern nur wenn über SSH andere Protokolle transportiert werden dann ist die Rede von einem "Tunnel" ??

Ja.

Ist das eine Vermutung (würde ich ja auch vermuten, aber wer weiss...) oder hast du das mal ausprobiert?

Ich bin eher vorsichtig mit solchen aussagen, weil ich genau weiß wie böse blacebo bei sowas manchmal wirkt aber ich meine das sogar zu merken. Aber meine hand lege ich nicht für in's Feuer.