VPN Verbindung "unsicher"

[MarkusL12]

Hallo zusammen,

Mir ist vor kurzem auf meinem Android Handy aufgefallen, dass dort meine VPN Verbindung zur Fritzbox 7390 als "unsichere Verbindung" angezeigt wird.
Ist das normal oder muss ich in der FritzBox irgendwie das Protokoll ändern? Ich verwende IPSec Xauth PSK. Zumindest meine ich, dass ich bei der Einrichtung auch nichts anderes auswählen konnte.

Alle Updates sind aktuell. Handy als auch fritzbox


LG
Markus

 

[Fujiyama]

Die FRITZ!Box ist uralt, könnte schon sein das es dadurch nicht mehr sicher ist.
Tritt den die Meldung auch bei anderen Geräten auf?

 

[DeepBlue23]

Die Fritten verwenden derzeit noch IKEv1, welches als veraltet gilt. Android 12 lässt dich neue Verbindungen mit diesem Standard gar nicht mehr einrichten, bei Upgrades wird die entsprechende Meldung gezeigt. AVM wird mit neuen Firmware-Versionen u.a. Wireguard bieten.

Nachtrag: Bloß nichts am vorhandenen Profil ändern, da du sonst nicht mehr zurück kannst!

 

[madmax2010]

Deine Fritzbox bekommt seit 4 Jahren keine Updates mehr. In den letzten 4 Jahren hat AVM mehrfach sehr relevante Sicherheitsluecken gestopft, die bei dir noch offen sind. Keine gute Idee
Selbst wenn sie Wireguard Supprt haette, waere daran nichrts mehr vertrauenswuerdig / sicher.

 

[Nickel]

Deine Fritzbox bekommt seit 4 Jahren keine Updates mehr.

Letztes Update:

 

[madmax2010]

Huch. Ueberraschend. Positiv ueberrraschend.
Hatte noch den Artikel von damals im Kopf
https://www.mlo-networks.de/1340/support-ende-fuer-die-fritzbox-7390/

 

[Nickel]

Da haben wohl einige alte Boxen ein Update erhalten.

Ja, die alte 7360v2 auch.

 

[madmax2010]

Dem ist so - Da kann ich ja fast vor mir rechtfertigen die alte 7360 nochmal raus zu kamen. nach EoL hatte ich sie noch ein paar Monate im Betrieb und dann gegen 1 SFP getauscht.
Vielen dank @Nickel

Was den thread angeht: Wireguard wird wohl auf der 7390 nicht ordentlich gehen.
Kannst du aber auch nachgelagert auf einem Raspebrry Pi machen.

 

[Nickel]

Nur die 7360v2 , Version 1 hat ihr letztes Update 2019 erhalten.

Hab die 7360v2 auch noch hier rumliegen und ein paar 7362sl.

 

[MarkusL12]

Hallo, Danke für die zahlreichen Antworten. Sorry muss nich gleich entschuldigen. Die 7390 hängt als Repeater bei mir an der 7590. Die VPN Verbindung ist natürlich dort eingerichtet. 🙈🙈🙈🙈

 

[SpiII]

Wie @DeepBlue23 es quasi schon sagt:
Du hast die VPN Verbindung im Smartphone unter Android 11 eingerichtet, dann kam ein Update auf Android 12 und nun kommt der Hinweis. Die Verbindung ist genauso "sicher/unsicher" wie vorher auch, aber weil der ältere Standard in Android 12 nicht mehr verfügbar ist, kommt der Hinweis und AVM hat den neuen Standard noch nicht auf die Fritzboxen gebracht.

 

[MarkusL12]

Ok, danke für den Hinweis! Dann warte ich mal auf ein Update der FritzBox und lasse es so wie es ist.
Ich habe noch eine Synology und einen managed Switch, die beide auch VPN Services anbieten. Wenn ich andere Forenbeiträge richtig gelesen habe, ist es aber keine so gute Idee die Verbindung auf diesen beiden Geräten hinter der FritzBox zu machen oder?

 

[DeepBlue23]

Also solange sich deine Synology langweilt und nicht allzu alt ist - wieso nicht? Sollte auch performanter als auf der Fritzbox sein - die sind ja CPU-mäßig sehr auf Kante genäht. Vom Sicherheitsaspekt sehe ich persönlich kein Problem - das NAS wäre nach VPN-Einwahl eh erreichbar.

 

[MarkusL12]

Ok, klingt auch logisch. Ich hatte hier um NAS forum mal einen anderen Beitrag zu diesem Thema durchgelesen. Da ging es auch sehr kontrovers zu. Es wurde davon abgeraten, da man "als Eindringling" formal direkt auf dem NAS wäre und nicjt noch die Hürde des Passwortschutzes zur NAS überwinden müsse. Aber ob das so ist kann ich nicht nachvollziehen, dazu kenne ich mich damit auch zu wenig aus.

 

[DeepBlue23]

Man ist technisch zwar über das NAS verbunden, der Zugang ist aber vom Datenzugriff etc. getrennt. Will man also auf das NAS anderweitig zugreifen, braucht man trotzdem noch Passwort und Co.

 

[Raijin]

Es wurde davon abgeraten, da man "als Eindringling" formal direkt auf dem NAS wäre und nicjt noch die Hürde des Passwortschutzes zur NAS überwinden müsse.

Nichts wird so heiß gegessen wie es gekocht wird. Sofern man das NAS bzw. den VPN-Server darauf stets aktuell hält, ist das für private Heimnetzwerke halb so wild.

Die größten Gefahren für das Heimnetzwerk sind die Anwender selbst. Schon mal einen USB-Stick geschenkt bekommen? Auf einer Messe oder an einem Info-Stand? Mit ein bischen Pech ist da Ding verseucht, weil der Typ, der die Sticks auf der Messe verteilt hat, gar nicht zur Messe gehörte und dafür schicke Malware auf den USB-Sticks versteckt hat. Eingesteckt, Malware eingefangen, dumm gelaufen.


Private Netzwerke sind in den seltensten Fällen Opfer gezielter Angriffe. Phishing, verseuchte USB-Sticks oder infizierte Webseiten sind Schrotflinten, die in die breite Masse feuern und irgendwen treffen sollen, sind deutlich in der Überzahl. Gleiches gilt für Portscans im Internet, die zB einen ssh-Server entdecken und anschließend mit einer Wörterbuchattacke angreifen (zB Loginversuche via "admin/admin", "admin/system" oder "root/root", etc).


Oberstes Gebot sind also ein aktueller Softwarestand sowie Vorsicht im Umgang mit Mails, Webseiten, USB-Sticks, etc. und natürlich sichere Passwörter. Hält man das ein, kann man im Heimnetzwerk durchaus auch die VPN-Funktion des NAS verwenden.

 

[MarkusL12]

Prima, danke dir!