Vor einigen Jahren hat ein Team von Sicherheitsexperten ein Papier veröffentlicht, in dem sie ein Angriffsszenario beschreiben, das es ermöglicht eine IKEv1 Aggressive Mode Verbindung mit Pre-Shared Key zu brechen, und das sich so wie dort beschrieben aber nicht gleichermaßen auf eine IKEv1 Main Mode Verbindung mit Pre-Shared Key anwenden lässt, was zu der fehlerhaften Annahme führte, dass Aggressive Mode grundsätzlich viel unsicher ist als Main Mode. Wirft man aber einen neutralen Blick auf die Fakten, entspricht dieses Behauptung so nicht den Tatsachen. Was den meisten Leuten nicht bekannt ist, ist die Tatsache, dass es ein Teil dieses Angriffs war, den Pre-Shared Key (PSK) mit Hilfe eines "Brute Force" Angriffs zu erraten und so ein Angriff kann nur dann erfolgreich sein, wenn der PSK zu unsicher gewählt wurde. Auch ein PSK ist nur ein Passwort und wie immer bei Passwörtern gilt auch hier: schlechte Passwörter führen zu geringer Sicherheit. Solange der PSK mindestens 14 Zeichen lang ist (desto mehr, desto besser), aus Kleinbuchstaben, Großbuchstaben und Ziffern besteht und komplett zufällig erzeugt wurde (so dass man ihn nicht ohne weiteres erraten kann), und so lange in Phase 1 mindestens SHA1 als Hash ausgewählt wurde (oder besser, wir empfehlen SHA-256 falls möglich), gibt es überhaupt keinen Grund anzunehmen, dass eine Aggressive Mode PSK Verbindung grundsätzlich weniger sicher ist als eine Main Mode PSK Verbindung. Wer ganz auf Nummer sicher gehen möchte, der wählt einfach eine Zertifikat-basierte Authentifizierung aus, sofern möglich, denn damit ist dieser Angriff überhaupt erst gar nicht durchführbar.

Technische Hintergrund:

Der Pre-Shared Key (PSK) ist kein Passwort, dass der Verschlüsselung von Daten dient, er dient ausschließlich der Authentifizierung, in etwa so wie wenn ein Nutzer sich mit einem Passwort an einer Webseite anmeldet. Während der Phase 1 müssen sich beide Seiten gegenseitig beweisen, dass sie den PSK kennen. Natürlich kann das nicht dadurch passieren, das eine Seite ihn der anderen Seite sendet, weil auch wenn die andere Seite ihn bisher nicht kannte, spätestens jetzt kennt sie ihn. Stattdessen müssen beide Seiten eine Zahl berechnen (einen sog. Hashwert), wofür zum einen Daten hergenommen werden, die beide Seiten bereits ausgetauscht haben (und die bei jedem Verbindungsaufbau anders sind, um sicherzustellen, dass der Hashwert auch jedes mal ein anderer ist) und zum anderen eben der PSK. Nur dieser Hashwert wird zur anderen Seite gesendet, die dann genau die gleichen Berechnungen durchführen muss. Kommt sie dabei zum gleichen Ergebnis, dann muss die andere Seite auch den gleichen PSK verwendet haben, ergo kennt sie ihn. Das gleiche Spiel wiederholt sich dann noch einmal in die andere Richtung, wobei die Berechnung hier leicht abweicht, damit auch die beiden Hashwerte garantiert immer unterschiedlich sind, denn den gleiche Wert zurück zu senden würde natürlich nichts beweisen.

Der Unterschied zwischen Main Mode und Aggressive Mode ist schlichtweg der, dass im Main Mode der Hashwert verschlüsselt übertragen wird, da das Schlüsselaustauschverfahren (DH Exchange), dass zu einem sicheren Session Schlüssel auf beiden Seiten führt, zu diesem Zeitpunkt bereits komplett durchlaufen wurde und sobald beide Seiten eine Session Schlüssel haben alle Pakete nur noch verschlüsselt übertragen werden. Mit Aggressive Mode wird der Hashwert unverschlüsselt übertragen, da zu diesem Zeitpunkt der Schlüsselaustausch noch nicht abgeschlossen ist. Dadurch dass ein Angreifer also eine Aggressive Mode Verbindung belauscht, kann er sowohl an den Hashwert, als auch an alle für die Berechnung dieses Wertes notwendigen Daten gelangen, mit Ausnahme des eigentlichen PSKs. Damit alleine hat der Angreifer aber die Verbindung noch nicht gebrochen, er hat lediglich genug Informationen, um sich damit auf die Suche nach den PSK zu machen, z.B. durch einen sog. "Brute Force Angriff" (einfach alle möglichen Kombinationen ausprobieren) oder einen Wörterbuchangriff (häufig gewählte Passwörter durchprobieren, die man durch Datenlecks andere Onlinedienste ergattern konnte). Nur wenn der PSK zu schwach ist um diesen Angriffen standzuhalten kann man so die Verbindung letztlich brechen. Daher ist ein guter, ausreichen sicherer PSK essentiell für die Sicherheit einer PSK VPN Verbindung.

Allerdings ist der gleiche Angriff auch auf eine Main Mode Verbindung möglich, er erfordert nur etwas mehr Aufwand. Im Falle von Main Mode ist es nicht genug nur den Datenverkehr mitlesen zu können, stattdessen ist ein sogenannter Man-in-the-Middle (MitM) Angriff notwendig, d.h. ein Angreifer muss den Datenverkehr abfangen und auch manipulieren können. Über einen MitM Angriff kann ein Angreifer die Verschlüsselung aushebeln, was zwar nicht genügt um Zugriff auf das VPN zu bekommen, denn dafür ist nach wie vor der PSK notwendig, denn ohne den lässt sich Phase 1 nicht erfolgreich abschließen, aber auch dann hätte ein Angreifer den Hashwert und alle für die Berechnung notwendigen Daten und könnte genauso versuchen den PSK zu erraten. Und wenn ein Angreifer schon dazu in der Lage ist, jeglichen Datenverkehr mitzulesen (was ja Grundvoraussetzung für jegliches Angriffsszenario ist), dann ist es sehr wahrscheinlich, dass er auch einen MitM Angriff durchführen kann und spätestens dann bietet Main Mode keinen zusätzlichen Schutz mehr.

Ein PSK aus 11 zufälligen alphanumerischen Zeichen hat eine Entropy von ca. 64 Bits, das sind 2^64 mögliche Werte. Moderne High End Grafikkarten (Stand 2016) können in der Größenordnung von 1 Mrd. SHA-265 Hashwerte die Sekunde berechnen. Im Schnitt muss man 50% aller Möglichkeiten probieren um einen Treffer zu landen und das würde 292 Jahre dauern. Wenn natürlich ein Angreifer 100 solche Grafikkarten zur Verfügung hat, dann würde der Angriff "nur noch" um die 3 Jahre dauern. Aber schon bei 14 Zeichen liegt die Entropy bei 80 Bits und hier brauch eine Grafikkarte alleine 19.154.798 Jahre. Nicht einmal 10.000 Grafikkarten würden hier die Zeit ausreichend verkürzen. Und man darf nie die Kosten eines solchen Angriffs außer Acht lassen. Weniger die Anschaffungskosten der Grafikkarten, es geht eher um ihren Stromverbrauch, wenn alle diese Grafikkarten 24 Stunden am Tag mit maximaler Leistung arbeiten und das über Jahre, Jahrzehnte oder sogar Jahrhunderte. Da kommen schnell Mrd Euro an Stromkosten auf einem zu und das nur um am Ende eine einzige PSK Verbindung auf dieser Welt zu brechen. Dazu kommt noch, dass jedes mal wenn sich der PSK ändert, der Angreifer wieder ganz von vorne anfangen muss. Wird also der PSK nur einmal pro Jahr gewechselt, hätte ein Angreifer max. 1 Jahr Zeit diesen zu finden; das wäre schon recht ambitioniert, selbst bei einem schwachen PSK.

Was bedeutet das?

DNS über HTTPS in Firefox deaktivieren

Das Symptom

Sobald der VPN Tunnel aufgebaut wurde, kann Skype keine neuen Anrufe mehr tätigen, Anrufe die aber bereits vor dem Tunnelaufbau bestanden, funktionieren hingegen weiterhin.

Die Lösung

Das Feld Lokale Adresse darf nicht leer sein. Falls es leer sein sollte, tragen Sie bitte eine beliebige private IP Adresse ein. Private IP Adressen sind alle Adressen, die folgende Form auweisen:

• 192.168.x.x
• 10.x.x.x
• 172.y.x.x

x: Eine Zahl im Bereich 0 bis 255.
y: Eine Zahl im Bereich 16 bis 31.

Die Adresse darf nicht Teil eines Netzes auf der anderen Seite des VPN Tunnels sein (also sich nicht mit einem Eintrag der Felder "Entfernte Netze" überscheinden), sonst wird der VPN Tunnel nicht länger funktionieren (er kann dann immer noch aufgebaut werden, aber nichts ist über diesen Tunnel dann erreichbar).

Alternative Lösungen

Sollte obige Lösung das Problem nicht beheben, stellen Sie bitte sicher, dass

• das Auflösen von DNS Namen auch mit verbundenen Tunnel noch möglich ist.
   
• öffentliche Internetserver auch mit verbundenen Tunnel noch erreichbar sind.
   
• der VPN Gateway im Fall einer Host zu allen Netzen Verbindung keinerlei Datenverkehr blockiert, der für den Betrieb von Skype unablässig ist.
   

Erklärung

VPN Tracker erzeugt ein virtuelle Tunnelschnittstelle für jeden VPN Tunnel. Wie bei jeder anderen Netzwerkschnittstelle auch, muss diese eine IP Adresse zugewiesen bekommen, um als IP Netzwerkschnittstelle agieren zu können. Falls der VPN Gateway eine Adresse zuweist, dann verwendet VPN Tracker diese. Falls nicht, verwendet er die Adresse aus dem Feld Lokale Adresse. Falls dieses Feld leer ist, verwendet VPN Tracker einfach die gleiche Adresse zu wie derzeit die primäre Netzwerkschnittstelle hat.

Im letzten Fall hat das System am Ende zwei Netzwerkschnittstellen mit identischer IP Adresse, was erlaubt ist und normalerweise auch problemlos funktioniert, außer ein App verhält sich nicht korrekt und fragt z.B. das System welche Netzwerkschnittstelle eine bestimmte IP Adresse hat, ohne dabei die Rangordnung der Schnittstellen zu berücksichtigen.

Damit ein Zertifikat in der Liste "Local Certificate" erscheint, muss es mit seinem zugehörigen privaten Schlüssel in einem Mac OS X Schlüsselbund vorhanden sein.

Mit Hilfe der Schlüsselbundverwaltung können Sie dies leicht prüfen: Wenn ein Zertifikat unter "Meine Zertifikate" aufgelistet ist, ist sein privater Schlüssel verfügbar und Sie können es als "Lokales Zertifikat" auswählen.

Wichtiger Hinweis für CheckPoint VPN Nutzer:

Die Mac OS X Schlüsselbundverwaltung kann derzeit keine privaten Schlüssel aus manchen von Checkpoint Software erzeugten Zertifikaten auslesen.

Um solche Zertifikate zu verwenden, konvertieren Sie sie bitte mit dem OpenSSL Kommandozeilenprogramm um:

1. Öffnen Sie ein Terminal ("Programme" > "Dienstprogramme" > "Terminal")
   
   
2. Konvertieren Sie das Zertifikat ins PEM Format um:

     openssl pkcs12 -in /Users/joe/Desktop/MyCheckPointCert.p12 -out /tmp/out.pem
   

   Ersetzen Sie /Users/joe/Desktop/MyCheckPointCert.p12 durch den Pfad des Zertifikates, das Sie konvertieren wollen.

   Sie werden zunächst nach dem Passwort gefragt, mit dem das ursprüngliche Zertifikat verschlüsselt ist. Wenn Sie das Passwort nicht kennen, fragen Sie bitte den Systemadministrator, der dieses Zertifikat für Sie erzeugt hat. Anschließend werden Sie zwei Mal nach einem Passwort gefragt, um die exportierte PEM Datei zu schützen. Sie können hier das gleiche Passwort verwenden, mit dem das Zertifikat ursprünglich verschlüsselt war. Bitte beachten Sie, dass beim Eintippen der Passwörter keine Buchstaben angezeigt werden - tippen Sie einfach das Passwort ein, und drücken Sie die Eingabetaste.

3. Konvertieren Sie die PEM Datei in PKCS#12 (.p12) Format zurück:

     openssl pkcs12 -in /tmp/out.pem -export -out ~/Desktop/MyFixedCheckPointCert.p12
   

   Ersetzen Sie /Users/joe/Desktop/MyFixedCheckPointCert.p12 durch den Pfad, an dem Sie das konvertierte Zertifikat abspeichern möchten.

   Sie werden zunächst nach dem Passwort gefragt werden, mit dem Sie eben die PEM Datei geschützt haben. Anschließend werden Sie nach einem Passwort gefragt, um die exportierte .p12 Datei zu schützen. Sie können erneut überall das selbe Passwort verwenden.

Zum Schluss doppelklicken Sie bitte auf die konvertierte Zertifikatsdatei, um sie in die Mac OS X Schlüsselbundverwaltung zu importieren.

Wenn Sie FortiOS 3 verwenden, stellen Sie bitte sicher, dass Sie mindestens MR6 patch 2 einsetzen. Frühere Versionen haben ein bekanntes Problem, das eine fehlerhafte Reaktion auf einen Verbindungsversuch mit XAUTH und Aggressive Mode verursacht.

Parallels

Ändern Sie in den "Einstellungen" von Parallels unter “Netzwerk” die DHCP Ranges für Shared und/oder Host-Only Networking, so dass kein Konflikt mehr mit dem Remote-Netzwerk Ihres VPN besteht.

VMware Fusion

Ein PDF mit einer entsprechenden Anleitung findet sich zum Download in den VMware Community Foren:

• VMware Fusion 3.x
• VMware Fusion 1.x/2.x

Wichtige Hinweise

Wenn du entweder deine equinux ID oder deine E-Mail-Adresse kennst, kannst du deine vollständigen Login-Daten über diese Webseite anfordern - binnen weniger Sekunden erhältst du die nötigen Informationen per E-Mail zugeschickt.

Sollte dies nicht funktionieren, wende dich bitte an das Support-Team - bitte in jedem Fall die alte und neue Email Adresse angeben.

Die Watchguard-Firmware enthält einen bekannten Fehler. Leider haben wir noch nicht herausfinden können, warum VPN Tracker diesen Fehler hervorruft (anders als der VPN-Client für Windows, den Watchguard selbst bereitstellt). Wir haben Watchguard das Problem geschildert, aber auch die Entwickler konnten uns nicht sagen, warum der Fehler auftritt. Der Fehler besteht darin, dass der Tunnel auf dem Watchguard-Gerät geschlossen wird. Er wird weiterhin als aktiv angezeigt, aber alle Pakete aus dem Tunnel werden zurückgewiesen.

Wenn Sie im Moment eine Branch Office-Konfiguration verwenden, wechseln Sie zu einem Mobile User-Setup (wenn möglich). Die Mobile User-Variante arbeitet besser mit VPN Tracker zusammen.

Bitte lesen sie hierzu auch folgende Beschreibung.

Geräte mit aktueller Firmware (Fireware XTM)

WatchGuard Firebox X Edge e-Series Geräte mit Fireware XTM (Fireware 11) werden in aktuellen VPN Tracker Versionen voll unterstützt. Weitere Infos finden Sie in der Konfigurationsanleitung.

Geräte mit älterer Firmware

Geräte mit einer älteren Firmwareversion können möglicherweise mit folgenden Einstellungen erfolgreich konfiguriert werden:

Nun müssen sie nur noch die Einstellungen entsprechend der folgenden Tabelle auf VPN Tracker übertragen:

Die folgenden Einstellungen müssen immer in VPN Tracker vorgenommen werden, unabhängig von der Firebox Konfiguration:

• Local Identifier Type: Email (auch wenn der Identifier z.B. ein Name und keine Emailadresse ist)
• Exchange Mode: Aggressive
• Phase 1 Diffie-Hellman Group: Group 2 (1024 bit)
• Perfect Forward Secrecy (PFS): aus

Zuletzt stellen sie bitte sicher, dass unter "Host to Network" ausgewählt ist und das richtige Remote Network eingetragen ist (z.B. 192.168.1.0/255.255.255.0).

VPN Tracker für Mac – mit vollständiger macOS-Unterstützung

Sowohl bei SMB (Windows File Sharing) als auch bei AFP (Apple File Sharing) ist die Verringerung der Latenz der Schlüssel zu guter Performance. Dies setzt natürlich zunächst voraus, dass Ihre Internetanbindungen auf beiden Seiten des VPN über ausreichende Bandbreite verfügen. Mit einem Dateitransfer über HTTP oder FTP können Sie dies leicht überprüfen.

Sie nutzen SSL VPN? Wechseln Sie auf IPSec

Im Vergleich zu einem SSL-VPN bietet IPsec viel schnellere Verbindungsgeschwindigkeiten, weil es sich auf der Netzwerk-Schicht des OSIs befindet – was bedeutet, dass es der physischen Schicht viel näher ist, wo sich die Verbindung und Ihr Gateway miteinander treffen. So bekommen Sie eine schnellere VPN-Leistung.

Mehr erfahren Sie in diesem Blogbeitrag.

Finder-Einstellungen

Wenn Sie den Finder verwenden und das Problem hauptsächlich in Verzögerungen beim Zugriff auf Ordner besteht (das Kopieren von Dateien aber akzeptabel schnell ist), schalten Sie Symbolvorschau und Vorschau einblenden in den Ansicht-Optionen des Finders (Cmd-J) aus.

Latenz verringern

Wenn die Performance sowohl beim Auflisten von Ordnern als auch beim Übertragen von Dateien nicht zufriedenstellend ist, sollte Ihr Ziel sein, die Latenz zu verringern. Einige Möglichkeiten, die Latenz zu verringern sind:

• Vermeiden Sie Internetanbindungen mit hoher Latenz (z.B. Satellit, einige Arten von Funk/Mobilfunk-Providern, Leitungsbündelung, ...).
• Wenn Sie DSL verwenden, fragen Sie bei Ihrem Interntprovider nach “Fast Path” (Interleaving ausgeschaltet). Diese Einstellung wird normalerweise an Onlinespieler vermarktet, aber ist auch sehr hilfreich für AFP oder SMB Dateiserver-Verbindungen oder Verbindungen zu Datenbanken (z.B. FileMaker).
• Stellen Sie sicher, dass der VPN-Verkehr ggf. priorisiert wird, damit andere Nutzer der Internetverbindung den VPN-Verkehr nicht verlangsamen können.

Um die Latenz zwischen den beiden Endpunkten des VPN zu messen, verwenden Sie Ping auf einem Host auf der anderen Seite der Verbindung, oder pingen Sie das VPN Gateway vom Client aus an. Ein Ping-Tool finden Sie direkt in VPN Tracker (Menü “Werkzeuge”), Sie können aber natürlich auch Ping im Terminal verwenden.

Um die Latenz der einzelnen Internetanbindungen zu messen ist es hilfreich, zunächst den lokalen Router zu pingen (um sicherzustellen, dass im lokalen Netz keine unnötige Latenz verursacht wird), und anschließend den ersten Router beim Internetprovider (um festzustellen, ob z.B. Fast Path oder ein anderer Internet Provider in Erwägung gezogen werden sollten).

Wenn Sie die Latenz nicht weiter verringern können:

Wenn Sie die Latenz nicht weiter verringern können (oder die Latenz zwischen den beiden Endpunkten allein schon aufgrund Ihrer physischen Entfernung sehr hoch ist), versuchen Sie es mit einem Dateiübertragungsprotokoll, das von hoher Latenz weniger stark beeinflusst wird, z.B. WebDAV oder FTP. In manchen Fällen können Sie auch mit rein administrativen Maßnahmen (z.B. weniger Dateien/Ordner pro Ebene, Kompression, ...) schon erhebliche Verbesserungen erreichen.

Gehen Sie in die Einstellungen Ihrer PPTP VPN-Verbindung im Control Panel Ihres Windows PC
Starten Sie die VPN Tracker 365 App auf Ihrem Mac und klicken Sie auf das "+", um eine neue PPTP Verbindung zu erstellen.
Übernehmen Sie die Einstellungen von Schritt eins in das Konfigurationsfenster von VPN Tracker 365.
Aktivieren Sie Ihre PPTP Verbindung in VPN Tracker 365, um sie zu testen.

Keine Sorge, das passiert uns auch immer wieder.

Auf unserer Passwortseite bekommen Sie Ihre Login-Daten automatisch per E-Mail zugeschickt, wenn Sie Ihre E-Mail-Adresse oder Ihre equinux ID eingeben.

Hat sich Ihre Email Adresse geändert? Senden Sie uns eine Nachricht.

Das hängt von den Einstellungen ab. Das übliche Setup für eine VPN-Verbindung ist “Host zu Netzwerk”, in diesem Fall wird nur Netzwerkverkehr zu den angegebenen Remote-Netzwerken durch den VPN-Tunnel geleitet.

Bei einem Setup mit der Netzwerktopologie “Host zu allen Netzwerken” wird jeglicher Netzwerkverkehr – mit ausnahme von Netzwerkverkehr zum lokalen Netz – durch das VPN geleitet. Für eine solche Verbindung wird ein geeignetes Setup auf dem VPN Gateway benötigt.

Als bestehender VPN Tracker Kunde, können Sie auf VPN Tracker 365 upgraden, Ihre bestehenden Verbindungen werden automatisch importiert.

VPN Tracker 365 laden

Anschliessend können Sie in unserem Online Store einen VPN Tracker 365 Plan kaufen.

Öffnen Sie die VPN Tracker 365 App und gehen Sie zu "VPN Tracker 365" > "Einstellungen"
Aktivieren Sie die Checkbox "Early Access: Pre-Release Versionen testen" neben "Aktualisierung".
Wählen Sie dann "Öffentliche Betas" aus der Liste aus

• IPsec
• IKEv2 (Beta)
• L2TP (nur macOS)
• PPTP (nur macOS)
• OpenVPN
• SSTP VPN
• Cisco AnyConnect SSL VPN
• SonicWall SSL VPN
• Fortinet SSL VPN
• WireGuard® VPN

SonicWALL Simple Client Provisioning funktioniert mit SonicWALLs auf denen SonicOS 4.0 oder neuer läuft und mit allen Editions von VPN Tracker.

Wenn Sie noch VPN Tracker 6 oder älter einsetzen, benötigen Sie Professional oder die Player Edition.

Beim Verbinden über SonicWall SCP oder SonicWall IKEv1 mit DHCP fordert VPN Tracker 365 für Mac eine IP-Adresse vom SonicWall-Gateway über das DHCP-Protokoll an. Für diese Anfrage verändert VPN Tracker 365 die MAC-Adresse leicht, sodass sie von der tatsächlichen MAC-Adresse Ihres Geräts abweicht. Dies ermöglicht Administratoren, eine feste IP-Adresse zuzuweisen, wenn Ihr Mac über LAN oder WLAN verbunden ist, und eine andere IP-Adresse, wenn er über VPN verbunden ist.

Diese Anpassung setzt ein bestimmtes Bit in der MAC-Adresse und kennzeichnet sie damit als selbstzugewiesene anstelle einer werkseitig zugewiesenen Adresse.

Beispiel:
Original MAC Adresse: 00:1B:63:B7:42:23

VPN Tracker MAC Adresse: 02:1B:63:B7:42:23

Ab macOS 15 Sequoia verwendet Apple standardmäßig eine rotierende MAC-Adresse für WLAN-Verbindungen, die in den Systemeinstellungen als „Private WLAN-Adresse“ bezeichnet wird. Um Verbindungsprobleme in Bezug auf diese Einstellung zu vermeiden, meldet VPN Tracker 365 stets die tatsächliche Hardware-Adresse (mit der oben beschriebenen kleinen Anpassung) anstelle der in den Modi „Rotierend“ oder „Fest“ verwendeten Adresse.

Auf iOS kann VPN Tracker keine MAC-Adresse abfragen. Stattdessen wird einmalig ein zufälliger Wert generiert und für die zukünftige Verwendung gespeichert. VPN Tracker für iOS verwendet diesen gespeicherten Wert dann als MAC-Adresse.

VPN Tracker Personal Safe ist ein verschlüsselter, zentraler Cloud-Speicherplatz für alle Ihre persönlichen VPN-Verbindungen und Shortcuts.

Eine Verbindung in Ihrem Personal Safe speichern - so geht's

Sie wissen nicht, ob Ihre VPN-Verbindung bereits gesichert ist? Das Safe-Icon in der Verbindungsliste zeigt, ob eine Verbindung im Personal Safe gesichert wurde:

Um eine Verbindung zu Ihrem Personal Safe hinzuzufügen, machen Sie einen Rechtsklick und selektieren Sie 'Im Personal Safe sichern', um Zugriff auf allen Geräten zu ermöglichen.

Warum brauchen Sie Personal Safe? Wie kann Personal Safe Ihre Produktivität im Daily Business steigern?
VPN Tracker Personal Safe macht das Nutzen von VPN noch zuverlässiger und sicherer: 

Ihr Sicherheits-Level erhöhen
Personal Safe fügt der Sicherheitskette Ihrer VPN Verbindungen ein zusätzliches, starkes Sicherheits-Level hinzu. Alle Ihre Verbindungsdetails werden mit einem Hochsicherheits-Encryption-Key verschlüsselt (Argon3 + PKTNY). Nur Sie persönlich haben auf diesen Zugang.

Ihr Backup für den Ernstfall parat haben
Sie sind abgesichert, auch wenn Ihr Mac-System beschädigt wird oder Ihr iPhone verloren geht. Ihre VPN Verbindungen liegen sicher gespeichert in Ihrem Personal Safe. Wenn Sie mit einem neuen System starten, müssen Sie sich nur einmal einloggen und Sie können sofort wie gewohnt mit Ihren Verbindungen weiterarbeiten.

Auf alle Ihre Verbindungen auf allen Ihren persönlichen Geräten zurückgreifen
Sie verwenden einen Office-iMac und haben unterwegs Ihr iPad dabei? Personal Safe sorgt für eine 1:1 Synchronisierung Ihres VPN-Verbindungs-Setups. Automatisch, sicher und verlässlich.

Wie werden die Verbindung gespeichert?
Sobald Sie eine neue Verbindungen zu Ihrem Personal Safe hinzufügen, werden diese mit ihrem persönlichen Encryption-Key verschlüsselt und in einem sicheren Cloud-Storage-Bereich abgelegt. Auf diese kann man fortan nur mit den persönlichen User-Anmeldedaten plus dem dazugehörigen Encryption-Key zugreifen.


Sind die Verbindungen sicher?
Personal Safe wurde von Grund auf für das Zusammenspiel mit VPN Verbindungen entwickelt. Im Gegensatz zu konventionellen Storage-Systemen, die zu ihrem Schutz nur auf Passwörtern basieren und Daten unberührt lassen, verschlüsselt Personal Safe alle Ihre Verbindungen mit Hilfe von modernsten Hochsicherheits-Encryption-Keys, auf die nur der Anwender selbst Zugriff hat. 

Das bedeutet, Verbindungen sind...

• auf Ihrem Gerät verschlüsselt und
• werden zusätzlich verschlüsselt im Storage-Bereich auf my.vpntracker.com gespeichert, auf den nur Sie Zugang haben.

Wir haben das System so entwickelt, dass sich niemand (nicht mal das VPN Tracker Team) Zugang zu Ihren Verbindungen verschaffen oder sie entschlüsseln kann.

VPN Tracker Pro ist perfekt für Sie, wenn Sie als Consultant arbeiten, ein System- oder Netzwerkadministrator sind oder mit mehreren VPN Verbindungen arbeiten.

• Exportieren Sie VPN Verbindungen für sich und andere Nutzer.
• Scannen Sie das Remote Network nach Diensten oder um Benutzer zu unterstützen.
• Verbinden Sie sich gleichzeitig mit mehreren VPNs.
• Verwalten Sie eine große Anzahl an VPNs mittels der Suchfunktion, der kompakten Ansicht und der Möglichkeit, Verbindungen zu gruppieren.
• Konfigurieren Sie Ihren Mac als Router, um dem gesamten Netzwerk einen VPN Tunnel als Netzwerk zu Netzwerk Verbindung zur Verfügung zu stellen.

Ihre equinux ID ist der Schlüssel zu Ihren Lizenzen bei equinux. Mit der equinux ID können Sie Lizenzen kaufen, aktivieren und zurücksetzen.

Wenn Sie zum ersten Mal in unserem Online-Store einkaufen, werden Sie gebeten, eine equinux ID zu erstellen. Nach Ihrem Kauf werden Software-Lizenzen automatisch mit Ihrer equinux ID verknüpft, so dass Sie sie bequem aktivieren können.

Im Handel gekaufte Boxen und bestimmte Produkte (VPN Tracker) werden noch mit einem Aktivierungscode ausgeliefert. Mit diesem Code können Sie eine neue Lizenz bei der Aktivierung an Ihrer equinux ID binden.

Falls Sie Ihre equinux ID und/oder dein Passwort vergessen haben, lesen Sie bitte diese Anleitung.

Ein Technischer Support Report enthält Ihre VPN Tracker Einstellungen sowie einige wichtige Netzwerk- und Systemeinstellungen, die unser Support-Team benötigt, um Ihnen bei Problemen schnell und unkompliziert weiterhelfen zu können. Vertrauliche Daten (z.B. Passwörter, Pre-Shared Keys, private Schlüssel) werden selbstverständlich nicht mitgeschickt.

Um einen Technischen Support Report am Mac zu erstellen:

‣ Klicken Sie auf Ihre Verbindung in VPN Tracker 365.
‣ Unter dem Reiter "Status" sehen Sie den Knopf “Technischer Support Report” rechts unten.
‣Klicken Sie den Knopf an, um den TSR zu erstellen und den Report an unserem Team zu schicken.

1. Auf die Verbindung tippen. Die Karte der Verbindung erscheint.
2. Dort auf "Feedback" tippen
3. Eine kurze Beschreibung des Verbindungsproblems angeben
4. Auf Senden tippen

Falls Sie keine VPN-Verbindung aufbauen können, erstellen Sie den Report bitte direkt nachdem der Verbindungsaufbau fehlgeschlagen ist.

Falls das Problem nach dem erfolgreichen Verbindungsaufbau auftritt, erstellen Sie den Report bitte während das VPN verbunden ist.

Sie können den Technischen Support Report entweder direkt an unser Support-Team mailen oder abspeichern, um ihn später oder von einem anderen Computer aus zu mailen oder über unser Kontaktformular hochzuladen.

Wenn irgend möglich, schicken Sie bitte auch Screenshots der VPN-Konfiguration auf Ihrem VPN Gateway.

Öffnen Sie die VPN Tracker 365 App und gehen Sie zu "VPN Tracker 365" > "Einstellungen"
Aktivieren Sie die Checkbox "Early Access: Pre-Release Versionen testen" neben "Aktualisierung"
Wählen Sie dann "Nightly-Builds" aus der Liste aus

Für sich allein gesehen unterstützt das IPsec-Protokoll keine Benutzernamen. Falls sie von ihrem Systemadministrator einen Benutzernamen für die Verbindung zu ihrem Firmennetzwerk erhalten haben, gibt es zwei Möglichkeiten:

• Der VPN-Router in ihrer Firma verwendet den Begriff "Username" im Sinne von "Identifier". Tragen Sie den Benutzername als "Local Identifier" in den Verbindungseinstellungen ein.
• Der VPN-Router in ihrer Firma verwendet "Extended Authentication (XAUTH)". Aktivieren Sie XAUTH in VPN Tracker. Die Software fordert Sie dann während des Verbindungsaufbaus auf, den Benutzernamen und das Passwort einzugeben.

Öffnen Sie mit einem Doppelklick die Verbindungsdatei in VPN Tracker 365.
Geben Sie das Import-Passwort ein. Dieses bekommen Sie von Ihrem Netzwerk-Admin.
Starten Sie nun die VPN-Verbindung. Wichtig: Falls Sie nach einem Login gefragt werden und diesen nicht kennen, kann Ihnen auch hier Ihr Netzwerk-Admin behilflich sein.

Konfigurationsanleitungen für VPN Tracker und Cisco Geräte finden Sie hier.

Anleitungen für Cisco Small Business (Linksys) Geräte finden Sie hier.

Wenn Sie bereits eine funktionierende VPN-Verbindung mit dem Cisco IPsec VPN Client haben:

Cisco VPN Client Verbindungen, die Authentifizierung über Gruppenpasswort nutzen, können in VPN Tracker importiert werden:

‣ "Ablage" > "Importieren" > "Cisco.pcf"

Wenn Sie eine Lizenz an eine andere equinux ID übertragen möchten, können Sie dies ganz einfach selbst unter my equinux tun.

‣ Loggen Sie sich zunächst mit Ihrer equinux ID auf http://my.equinux.com
 ein.      
‣ Wählen Sie das Produkt aus.
‣ Setzen Sie bei den Lizenzen, die transferiert werden sollen, ein Häkchen.
‣ Klicken SIe auf "Transfer". Es erscheint ein neues Eingabefeld. Tragen Sie dort die equinux ID oder E-Mail Adresse des Lizenzempfängers ein, anschließend klicken Sie auf "Next".
‣ Nun können Sie den Transfer mit "Confirm" bestätigen. Das System überträgt die Lizenz, blendet eine Bestätigung ein und informiert den bisherigen und auch den neuen Lizenzinhaber automatisch per E-Mail.

• VPN Tracker 365: Hier herunterladen
• Eine Internetverbindung
• Einen VPN Router/Gateway

Eine Neue Verbindung erstellen

VPN Router auswählen

‣ Wählen Sie in der Liste den Hersteller Ihres VPN Gateways und das entsprechende Gerätemodell. 

‣ Sollte Ihr Hersteller oder Ihr VPN Gerät nicht in der Liste auftauchen, wählen Sie "Benutzerdefiniertes Geräteprofil verwenden." 

‣ Klicken Sie auf "Erstellen" um Ihre VPN Verbindung hinzuzufügen.

Ihre Konfigurationsanleitung

Um sich mit Ihrem Server zu verbinden, führen Sie bitte folgende Schritte aus:

Öffnen Sie Finder.
Öffnen Sie das "Gehe zu" Menü.
Gehen Sie auf "Mit Server verbinden..."
Geben Sie die IP Adresse ein (z.B."192.168...")
Wählen Sie "Verbinden".

Fertig! Jetzt haben Sie über den Finder Zugriff auf Ihre Dokumente.

Sie können allerdings auch eine Link zu Ihrem Server in dem VPN Tracker App anlegen. D.h. die Verbindung wird dort gespeichert und Sie können jederzeit darauf klicken, um eine schnelle Verbindung zu Ihrem Server zu bekommen.

Gehen Sie auf "VPN Shortcuts" in dem App-Menü.


In dem "Shortcuts" Bereich, klicken Sie auf dem unteren Menü und wählen Sie das Dateiserver Icon.


Wählen Sie eine VPN Verbindung und einen Server aus der Liste aus, um Ihr Shortcut zu erstellen. Wenn Ihr gewünschter Server nicht in der Liste erscheint, können Sie diesen auch selbst eintragen.

Nachdem Sie die obigen Schritte durchgeführt haben, wird Ihre Verbindung in den Shortcuts gespeichert und ist dort ab sofort aufrufbar.

Schauen Sie sich diesen Video-Tutorial an, um mehr zu erfahren...

• Sende Keep-Alive Ping alle

  Diese Option steuert, ob und wie oft VPN Tracker keep-alive Pings sendet. Ein keep-alive Ping ist kein normaler Ping und wird vom VPN-Gateway nicht als Tunnelverkehr betrachtet, so dass er die Verbindung am Gateway nicht aufrecht erhält. Der einzige Zweck dieser Pings ist es, die Verbindung durch Firewalls und NAT-Router zwischen VPN Tracker und dem Gateway aufrechtzuerhalten, wenn kein anderer Tunnelverkehr gesendet wird.

• Trennen falls inaktiv für

  Diese Option steuert, ob und nach welcher Zeit VPN Tracker die Verbindung aufgrund von Inaktivität trennt. Nur Tunnelverkehr wird als Aktivität betrachtet, keep-alive Pings, die von beiden Seiten gesendet werden können, und Protokollverwaltungsdaten werden nicht als Tunnelverkehr betrachtet.

• Peer als tot ansehen, wenn kein Lebenszeichen für

  Diese Option steuert, ob und nach welcher Zeit VPN Tracker die Verbindung trennt, wenn es kein Lebenszeichen gibt. Jeglicher Verkehr vom Gateway wird als Lebenszeichen gewertet, unabhängig davon, ob es sich um Tunnelverkehr, keep-alive Ping oder Protokollmanagementverkehr handelt.

  Diese Option hat keine Auswirkung, wenn das Gateway nicht für das Senden von Pings konfiguriert ist (Option --ping oder ping in der Serverkonfigurationsdatei), denn ohne aktivierte Pings kann es für einige Zeit keinen Tunnel- oder Management-Verkehr geben, aber das ist kein Beweis dafür, dass das Gateway nicht mehr lebt, da es nichts sendet, wenn es nichts zu senden gibt. Mit aktiviertem Ping würde das Gateway in einer solchen Situation zumindest keep-alive Pings senden, und wenn auch diese nicht ankommen, hat das Gateway höchstwahrscheinlich die Verbindung abgebrochen oder ist offline.

VPN Tracker hält sich streng an Apples Vorgaben, wo im System welche Dateien abgelegt werden sollen. Man findet VPN Tracker Dateien also ausschließlich in den Verzeichnissen, wo sie laut Apple auch hingehören. Abhängig davon ob es sich dabei um systemweite Daten oder nutzerspezifische Daten handelt, findet man diese im Verzeichnis /Library (systemweit) oder ~/Library (nutzerspezifisch), wobei ~ ein Platzhalter für den Benutzerordner des aktuellen Nutzers ist.

Um Zugriff auf den systemweiten Library Ordner zu bekommen:

‣ Im Finder Menü "Gehe zu" > "Gehe zum Ordner..." wählen
‣ Dort eingeben /Library

Um Zugriff auf den Library Ordner des Nutzers zu bekommen:

‣ Im Finder Menü "Gehe zu" > "Gehe zum Ordner..." wählen
‣ Dort eingeben ~/Library

Tipp: Denken Sie auch daran, Ihren Schlüsselbund für VPN Tracker Items zu überprüfen, indem Sie nach "VPN Tracker" suchen.

Hinweis: Einige dieser Dateien sind möglicherweise aktuell vom System geladen, andere sind möglicherweise zwischengespeichert. Um Ihr System so aufzuräumen, als wäre VPN Tracker nie darauf installiert gewesen, müssen Sie auch die Anwendung selbst entfernen und dann Ihr System neu starten. Nach dem Neustart wird das System automatisch alle verbleibenden VPN Tracker-Komponenten entfernen, die oben nicht erwähnt wurden, da diese auf die Anwendung selbst verweisen und verschwinden, sobald die Anwendung nicht mehr vorhanden ist (einige dieser Komponenten können sonst nicht gelöscht werden).

Der VPN Tracker 365 Connection Checker hilft dabei, herauszufinden, welche VPN-Protokolle von Ihrer aktuellen Internetverbindung unterstützt werden. Dies ist besonders nützlich in Hotels, Cafés oder Büros, wo Netzwerkbeschränkungen bestehen könnten.

Erklärung der Ergebnisse

• ✅ Grünes Häkchen: Das Protokoll wurde erfolgreich getestet und sollte mit Ihrem aktuellen Netzwerk funktionieren.
• ⚠️ Gelbes Ausrufezeichen: Der Test war nicht eindeutig. Das Protokoll kann funktionieren, muss aber nicht, da es möglicherweise durch Netzwerkbeschränkungen oder eine instabile Verbindung beeinflusst wird. Ein Verbindungsaufbau ist möglich, aber nicht garantiert.

Warum funktioniert ein VPN-Protokoll nicht?

Falls ein Protokoll mit einem ⚠️ gelben Ausrufezeichen gekennzeichnet ist, können folgende Gründe vorliegen:

• Netzwerkbeschränkungen – Manche WLAN-Netzwerke (Hotels, Unternehmen) blockieren bestimmte VPN-Protokolle.
• Firewall-Regeln – Eine Firewall könnte VPN-Datenverkehr filtern und somit die Verbindung verhindern.
• ISP-Einschränkungen – Manche Internetanbieter drosseln oder sperren bestimmte VPN-Protokolle.
• Router-Einstellungen – Ihr Router unterstützt möglicherweise kein VPN-Passthrough für bestimmte Protokolle (z. B. PPTP, L2TP).
• Double NAT-Probleme – Wenn Ihr Netzwerk hinter mehreren Routern liegt (häufig in Hotels oder Mobilfunknetzen), kann dies VPN-Verbindungen stören.
• Instabile Internetverbindung – Hoher Paketverlust oder eine schwache Verbindung kann VPN-Protokolle beeinträchtigen.

Was tun, wenn ein Protokoll nicht funktioniert?

• Netzwerk wechseln – Testen Sie es mit einem anderen WLAN Netzwerk
• Mobilen Hotspot probieren – Erstellen Sie einen mobilen Hotspot mit Ihrem Telefon und prüfen ob Sie damit verbinden können.
• Ein anderes Protokoll ausprobieren (z. B. falls IKEv2 instabil ist, OpenVPN testen).
• Router-Einstellungen prüfen, falls Sie sich in einem Heim- oder Büronetzwerk befinden.
• VPN Trackers integrierte Tools zur Fehlerbehebung nutzen, um weitere Details zu erhalten.

Mit dem VPN Tracker Connection Checker können Sie Netzwerkprobleme schnell erkennen und das beste Protokoll für eine stabile Verbindung auswählen.

Den Datendurchsatz durch Zugriff auf ein Remote Dateisystem zu testen, ist im Normalfall keine gute Idee. Das hat im wesentlichen zwei Gründe:

Zum einen die Zugriffsprotokolle an sich. Protokolle wie SMB, AFP oder NFS wurden für lokale Netzwerke entworfen, welche schnell und zuverlässig sind und niedrige Latenzzeiten bieten. Das Internet hingegen ist oft langsam (zumindest die Anbindung ist es), unzuverlässig und hat deutlich höhere Latenzzeiten. Um also brauchbare Ergebnisse zu erhalten, muss man auf ein Protokoll zurückgreifen, das genau für diese Situation entworfen wurde, z.B. HTTP oder FTP.

Zum anderen die Implementierung des Protokolls an sich. Heute nutzen die meisten Systeme SMB, das Windows Dateifreigabe Protokoll. Apple hat eine eigene Implementierung dieses Protokolls, die aber alles andere als gut ist. Und während die SMB 3.x Implementierung schon relativ schwach ist, ist die die SMB 1.x/2.x Implementierung (Kompatibilitätsmodus) leider fast schon unbrauchbar und aus diversen Gründen fällt macOS gerne in diesen Kompatibilitätsmodus zurück. Beim testen mit einem lokalen Dateiserver konnte wir 28 MB/s mit SMB 3 erreichen und nur noch 18 MB/s mit SMB 1, mit dem gleichen Server und AFP erreichen wir aber 50 MB/s.

Falls Sie auf der Remote Seite einen Mac stehen haben, dann ist es sehr einfach sich schnell einen passende Testaufbau zu bauen. Dazu starten Sie bitte die Standardanwendung “Terminal” (nutzen Sie einfach Spotlight um sie zu finden) und geben dann bitte folgende Befehlsfolge ein (jeder Befehl muss mit Enter/Return bestätigt werden):

mkdir /tmp/www-bench
cd /tmp/www-bench
dd count=1048576 bs=1024 if=/dev/random of=1GiB.dat
php -S 0.0.0.0:8080

Der erste Befehl erzeugt ein neues Verzeichnis, der zweite wechselt dann in diese Verzeichnis, der dritte erzeugt dort eine 1 GiB große Datei und der vierte startet dann einen sehr einfachen HTTP Server, der den Inhalt des aktuellen Verzeichnisses über den Port 8080 anbietet. Auf der VPN Tracker Seite reicht es jetzt einfachen folgende Adresse in Safari (oder einem anderen Browser) einzugeben:

http://a.b.c.d:8080/1GiB.dat

Wobei “a.b.c.d” die IP Adresse des Macs ist, auf dem zuvor die Befehle eigegeben wurden. Über die Anzeige des Datendurchsatzes im Browser bekommt man ein gutes Bild davon, welcher Datendurchsatz über das VPN möglich ist. Natürlich hängt das von diversen Faktoren ab, aber die wichtigsten sind die lokale Internetanbindung, die Anbindung des VPN Gateways und natürlich die dem VPN Gateway zu verfügung stehende Rechenleistung (letztere ist oft um Dimensionen geringer als die Rechenleistung, die selbst ein langsamer Mac zu Verfügung steht).

Um nach den Test das Testsystem wieder aufzuräumen genügt es das Terminal Fenster zu aktivieren, dort CTRL+C zu drücken, um den HTTP Server zu beenden und dann folgende zwei Befehle auszuführen:

cd
rm -r /tmp/www-bench