Naja das kommt drauf an was du brauchst. Wenn du die VPN Verbindung nur an der Box brauchst reicht OpenVPN auf der Box. Wenn alle Geräte (auch jene die nicht VPN Client fähig sind) die VPN Verbindung nutzen sollen brauchts einen Router.
Wenn alle Geräte VPN fähig sind könnte man auch alle einzeln mit dem VPN Server verbinden.

Fakt ist das ein offener Port im Router zuviel Angriffsfläche bietet.
Daher ist das für mich keinesfalls eine Glaubensfrage.

Der Zugang an der Box bietet genauso viel Angriffsfläche wie am Router.

Wenn der Router im Internet steht, die Box aber nicht, ist der offene Port am Router das erste Angriffsziel.

also wenn du openvpn auf einem router nutzt brauchst blos den port 1194 öffnen um zugriff auf dein gesamtes netzwerk zu bekommen..
das heisst du brauchst nicht alle geräte ausser es ist gewünscht im router freischalten wie box etc..
natürlich ist das ansichtssache was jeder auf seinem router für ports freigibt wie 443 oder 80 oder ftp oder telnet was sehr leichtsinnig ist..
wenn dann würde ich nur die halbwegs gesicherten ports freigeben wie ssl,oder https mehr eh nicht

Ich behaupte mal ganz frech hier geht es um VPN Clienten und nicht Server, von daher wird so und so kein Port manuell geöffnet.

Auf dem Router. Da wird das Routing und i.d.R. auch der dynamische DNS deutlich einfacher, und man muss nur zwei Geräte (Router und VPN Client) anfassen.

Ein offener Port ist in beiden Fällen zwangsweise auf dem Router vorhanden. Läuft VPN auf dem Router, muss der Router einen Port für den lokalen Dienst öffnen (INPUT).
Läuft VPN hinter dem Router, muss man mit Port-Forwarding am Router arbeiten. Damit ist der Port auch offen (aber per NAT + FORWARD).

Gruss
Joe

Ahso. Sag das doch

Dann aber immer noch auf dem Router, weil damit das Routing zentral ist. Dann musst du keinen einzigen Client anfassen.

Und du willst mit einem VPN Server verbinden und keinen VPN Server selber hosten, richtig?

Dann stellt sich für dich doch gar nicht die Frage offener Ports wenn du nur Client bist
Da muss sich der Server Besitzer drum kümmern und dir nur die VPN Zugangsdaten geben.

Ich zitiere mich selber:



Ein Router heißt Router, weil er hauptsächlich Pakete routet ;!:
Für gewöhnlich hat jedes Gerät im Heimnetzwerk den Router als Standard-Gateway. Da liegt es Nahe, wenn ein VPN-Endpunkt auf dem Router selbst installiert ist damit der Router zusätzlich ins VPN routen kann.

Würde ein VPN-Enpunkt auf einem anderen, internen Host laufen, umgeht man diese zentrale "Eleganz" des Routers.
Bei einem Host-to-Host VPN (also ein VPN, bei dem nur zwei VPN Endpunkte verbunden werden sollen) macht das zwar zunächst keinen Unterschied.
Wohl aber bei einem Net-to-Host, bzw. Net-to-Net Setup: Wenn also mehrere Geräte auf das VPN zugereifen sollen, müssten diese alle einzeln dafür konfiguriert werden.


Abgesehen von dem Routing noch ein weiterer Punkt:

Ein dedizierter Heim-Router läuft für gewöhnlich rund um die Uhr und das ziemlich robust. Ich betreibe zu Hause ein Netzwerkmonitor (Nagios): Mein (Billig-)Router macht mehrere Jahre Uptime ohne Probleme -> ideal zum Aufsetzten eines VPNs.
Bei der VU+ sieht das anders aus: Mein VU+ Duo kommt im Schnitt selten über 6 Wochen Laufzeit hinaus. Die Gründe sind vielfältig: Mal ist es die Installation eines neues Image, manchmal bleibt der ein oder andere Absturz nicht aus (besonders wenn man mit Plugins experimentiert), ggf möchte man Strom sparen und die Box dazu ausschalten, nicht zu vergessen die TV-Benutzer, die ohne weiteres den Betrieb durch direkte Benutzereingaben beeinflussen können, uswusw -> alles in Allem keine guten Grundvorraussetzungen für einen zuverlässigen VPN-Endpunkt.

(Das soll keien Kritik an der Box an sich sein. Ich will damit nur sagen, das es speziell für Routing/VPN/Firewalling und Co. deutlich elegantere, bessere, sicherere und zudem auch deutlich günstigere Geräte gibt)

Gruss
Joe

und troztdem wollte ich noch mal fragen welcher Art von traffic...
das braucht nicht beantwortet zu werden wenn man nicht will!
aber es gibt eine klare sicht auf die Lage und vielleicht auch auf das anliegen, weil die Kunst sich zu verhullen / Cloack / proxy usw ist eigentlich eine SAGA in unsere IT-Welt

ciao

Für mich wäre die Frage, wer denn Zugreifen soll. Wenn man auf dem Router VPN einrichtet hat der Client ja Zugriff auf das gesamte Netzwerk. Wenn man das nicht will, ist eine direkte VPN-Verbindung zur VU-Box eine Lösung. Oder man setzt die VU in ein eigenes Netzsegment...

moin moin,

interessantes Thema, ich habe meine BOX an der Fritzbox hängen und dort den VPN Port eingerichtet. Box ist durch Benutzer und PW "geschützt" kennt irgendjemand ein Tool, das mir den offenen Port überwacht so das ich erkennen kann wenn jemand versucht sich reinzuhacken ?

Gruß Jürgen

speichert dass die Fritzbox nicht selbst unter System, wenn sich jemand einwählt? wenn ich auf mein NAS gehe, dann sehe ich das