Welche Software als VPN Server verwenden?

[ann0see]

Ich habe einen vServer (nennt sich root Server) bei netcup. Auf ihm läuft momentan nur ein Mailserver und apache. Nun würde ich gerne auf diesem Server einen VPN Server installieren.

Ich kenne den SoftEther VPN Server, den ich schon seit einiger Zeit bei mir zu Hause installiert habe (Raspberry Pi). Dieser ist ganz gut, vor allem unterstützt er neben OpenVPN auch L2TP/IPSec und diverse andere Protokolle und lief fast rund. Als vor einiger Zeit dieser Angriff auf Telekom Router stattfand, reagierte SoftEther komisch. Die Konfigurationsdatei verschwand plötzlich im Nirvana. Das fand ich sehr merkwürdig. Auch im Internet bin ich auf eine Seite gestoßen, die die SSL Verschlüsselung der Webseite des Projekts als sehr schlecht einstufte. (Auf Reddit.com)

Open VPN habe ich mir auch schon angeguckt, aber das gilt als langsam? Auch muss man erst mal Software auf dem Computer installieren.

Dann bin ich noch auf Strongswan gestoßen, das auch L2tp/IPSec unterstützt. Das ist auch in den Standardpaketquellen vorhanden, glaube ich. Konfiguration sei aber nicht so einfach.

Ich würde gerne den VPN Server in einem Docker Container installieren, aber natürlich so viel wie möglich Konfiguration Freiheit haben.

Was schlagt Ihr vor?

[sergej2018]

Nabend,

Performance von VPN-Servern zu vergleichen finde ich schwierig.
Was genau haste mit dem Tunnel denn vor?
Ich nutze fast überall openVPN. Allerdings administriere ich darüber auch hauptsächlich irgendwelche Systeme, es entsteht also kein besonders großer Traffic, der durch den Tunnel muss. Durch die config-Parameter hat man gute Möglichkeiten, den Tunnel zu härten.

[ann0see]

Ich hätte vor z.B. vor eine sichere Verbindung ins Internet aufzubauen, wenn ich in Hotspots bin. Oder gelegentlich vielleicht Video Streaming vom Außland.
Wartung über VPN + SSH hatte ich mir auch überlegt, aber da bin ich mir noch nicht ganz sicher.

[bluestar]

Ich habe sowohl OpenVPN als auch IPSEC für VPN-Verbindungen im Einsatz, von der Performance her geben sich die Dienste recht wenig. Für mich wichtiger war/ist dir Tatsache der guten Erreichbarkeit des Servers aus anderen Netzen.

IPSEC aus Ägypten nach DE -> geht 90% gar nicht
OpenVPN aus Ägypten nach DE -> geht zu 95%, sofern man nicht den Standard OpenVPN-Port nutzt.

[dufty2]

Ich schlag' mal WireGuard vor, laut
https://www.wireguard.com/talks/netdev2017-slides.pdf
Seite 38/39 auch ziemlich performant.
Ist halt noch recht neu

[ann0see]

Stimmt, bei OpenVPN hat man den Vorteil, dass man den Port ändern kann.
Wie schätzt ihr Apple ein, werden die die OpenVPN App aus dem AppStore entfernen? -> China gesetz

[bluestar]

Wenn dann verschwindet die App aus dem chinesischen App Store... In Europa wirst du sie nach wie vor problemlos herunterladen können.

Kommt ja auch immer darauf an wie oft du in China bist.

[maltris]

Ein Vorteil von OpenVPN wäre noch, dass wenn der Traffic verschlüsselt über Port tcp/443 läuft, nicht ohne weiteres (z. B. Deep Paket Inspection) feststellbar ist, dass es sich nicht um verschlüsselten HTTP-Traffic handelt.

Ist eine dezentrale und konfigurationstechnisch simple Lösung gesucht, werfe ich noch tinc in die Runde. Ein Cydia-Paket soll es auch geben [1] bei tieferer Recherche fällt aber auf, dass die letzten Pakete von 2015 sind [2]:

We are in the process porting tinc to the following architectures. On some it may already work, on others it will not. You can check in which stage we are in the table.

Nachtrag:

Ich würde gerne den VPN Server in einem Docker Container installieren, aber natürlich so viel wie möglich Konfiguration Freiheit haben.

Das dürfte gegeben sein. Am Beispiel kylemanna/openvpn [3] kannst du deine Configs entweder von einem Volume oder vom Hostsystem in den Container mounten. Und dementsprechend natürlich auch komplett selbst bestimmen, was darin stehen soll.

[1] https://www.tinc-vpn.org/platforms/
[2] https://www.tinc-vpn.org/packages/cydia/
[3] https://hub.docker.com/r/kylemanna/openvpn/

[ann0see]

Danke für eure Antworten
Port 443 kommt leider nicht in Frage, da ich eine https verschlüsselte Site habe. In China bin ich nicht Wahnsinnig häufig. Ich habe nur gehört, das Apple nach und nach VPN Apps verschwinden lassen will (überall); ich weiß nicht, ob das wirklich wahr ist.
Port 8080 wäre aber möglich.

[Cae]

Port 443 kommt leider nicht in Frage, da ich eine https verschlüsselte Site habe.

sslh.

Gruss Cae

[ann0see]

Interessant. Wie ist es dann mit den Apache Logs? Zeigen die dann localhost?

[ann0see]

Gut. OpenVPN ist installiert.

Ich habe versucht sslh einzurichten. Ich habe mir vorgenommen ipv4 und ipv6 über das Transparent mode einzurichten. Apache ist jetzt auf localip:4443 und *:80 openvpn auf Standardport 1194 aber tcp. Localip wird in /etc/hosts definiert als ::1 localip und 127.0.0.1 localip.
Iptables und ip6tables rules habe ich eingerichtet.
Jetzt kann sich SSLH nicht mit Apache verbinden... meine VirtualHosts (die über https erreichbar sind) habe ich auch auf Port 4443 umgestellt.
Soll ich dafür einen extra Thread anlegen?