Fórumok
Sziasztok!
Biztonságtechnikai okokból hol jobb, hol fusson az openvpn server? Arra gondolok, hogy a VPS-en, vagy az itthoni routeren?
Ugye az ovpn kliens fileot (ha pl. a helyi routeren fut a server) fel kell másolni a VPS-re. Másolás közben is kockázat, és utána a VPS filerendszeren is olvasható ez a file a VPS szolgáltató által.
A házautomatizálási rendszert akarom VPS-en openVPN-nel elérni 24/7-ben.
Köszi,
Roland
Hozzászólások
Ha otthon fut, akkor nem ártana otthonra fix ip.
Amúgy ha a távoli szerver linux, akkor tök mindegy, hol fut biztonságilag. Ha windows, akkor én azon nem futtatnám, bár nincs vele tapasztalatom, úgyhogy köpködhettek. :)
Amúgy feltételezem, h otthon mondjuk van egy mikrotik routered, amit frissítesz is. Ha valami kommersz akármi, gyári firmware-el, akkor az már neccesebb lehet.
Köszönöm.
Hát egyszerű SOHO routerem van... Milyen mikrotiket javasolnál? (openvpn,ddns [duckdns], dhcp - rögz. d.IP címek is)
Egyszerű, user friendly openvpn van soho-routereken gyári firmwarerel, ehhez igazan nem kell pilotavizsgas mikrotik.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Ehhez csak annyit tennek hozza, hogy Mikrotiken pont nem az OpenVPN a javasolt, egyfelol, mert nincs HW-es gyorsitas, csak IPSec-re, illetve igen korulmenyes osszerakni, sima Linuxon toredek ido (regebben neztem, de valoszinuleg sokat mara sem valtozott).
Illetve a Mikrotik sajat dinamikus dns-t ad.
Azért használok mikrotik routeren (is) openvpn-t, mert az eddig mindenhol működött, nat mögül, akárhol. Ha lassabb, mint a másik, hát nagy kaland, eddig elég volt.
Nem is vitatkozom ezzel, csak minimalisan korbe akartam jarni a temat, hogy a kerdezo jobban tudnon donteni. :)
Mezei ~20eft-os mikrotik hex (rb750gr3) routereket szoktam letenni. És igen, valóban nem tud openvpn-en gbit sebességgel routolni. Pont sosem kellett még több. :)
Köszönöm.
Ahogy nézem az openvpn gyors konfigjáról lemondhatok. Korábban egy unifi edgerouter (PoE outos AP-hez) beállítása ijesztgetett...
Tényleg, hogy tudnám a router mellé egy mobil netet beilleszteni backup netté?
Mikrotiken sem trivialis osszerakni, ez biztos. Mas megoldassal ott jobban jarsz, sima Linuxon ugyanakkor csak par perc, szoval vannak lehetosegek.
Találtam, hogy winbox-szal is lehet:
https://www.medo64.com/2016/12/simple-openvpn-server-on-mikrotik/
Valaki csinált winbox-ban openvpn servert?
Találtam, hogy winbox-szal is lehet:
https://www.medo64.com/2016/12/simple-openvpn-server-on-mikrotik/
Valaki csinált winbox-ban openvpn servert?
Nekem egész nagy OpenVPN hálózatom volt, de Mikrotiken elég lassú sajnos OpenVPN és 6-os verzióban csak TCP-t tud (ami ugye TCP meltdown miatt bajos). Ma már inkább IPSec-et rakok mindenhova IKEv2-vel transport módban és fölé GRE tunnelt húzok. Ez talán a legegyszerűbb és legstabilabb, ráadásul gyors is. Az egészen pedig BGP-t futtatok és az intézi a routing táblák kitöltését.
Asus routereken (pl. ac-rt66u_b1) pl. menüből konfigolhatod (klikkeléses módszerrel). :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
az RB760iGS-t néztem ki. Annak ahogy látom, van POE outja, ami a UAP-hoz jó lesz. A WAN csatlakozót bárhova rakhatom?
Ha tisztesseges a router, valojaban teljesen mindegy, de ahogy a kollega is irta, jo lenne a fix ip, de ha az nem megoldhato, egy dinamikus dns mindenkepp, anelkul a gyakorlatban hasznalhatalan.
Egy jol karbantartott Linux vps semmivel sem nyujt alacsonyabb biztonsagi szintet, ettol nem kell, hogy tarts, en is tobb vps-en is uzemeltetetek tobb vpn-t, jol konfiguralt szerver es szolgaltatas eseten ennek semmifele kockazata nincs, csak elonye.
Mikrotik ugye kapásból ad dinamikus ip cím feloldást is free.
Igen, en kimondatlanul is mindig arra gondolok, ltthon en is igy hasznalom. :)
A VPS-nek fix ip címe van.
Tisztul a kép.
Célszerűen ott érdemes futni a VPN szervernek, ahol a szolgáltatásod fut, amit el akarsz érni. Megoldható a kliens elérése is, de az már egy kicsit tákolás. De ez attól is függ, bridge vagy tunnel módot használsz.
Nem tudom mit értesz kliens file alatt, ha a konfigurációs filet, abban jó esetben nincs semmi titkos információ. Az authentikációs adatok legyenek külön vagy használj tanúsitványokat. Egyébként ha ssh felett ha átviszel egy konfig filet az biztonságosnak mondható. De ha nem bízol meg a szolgáltatóban akkor bérelj vps-t máshol, hiszen a hálózati forgalmadat is látják, stb. tehát egy file a vps-en már nem jelent különbséget.
Most rpi-n fut a domo, minden szenzor, minden egyéb LAN-on kapcsolódik hozzá. Erre gondoltam, hogy VPS-re teszem. Így nekem most kézenfekvő lenne, ha a routeren futna az openvpn szerver és a VPS-n a domo, ill. kliens az openvpn-hez. És mobilnet WAN2-re, hogy backup net legyen.
Aruba a VPS szolg.
Dinamikus DNS ha nincs fix Ip. Én a freedns.affraid.org-ot használom évek óta, nincs vele gond.
Utána már lehet otthon a végpont, amíg használtam, egy rpi3-on dockerben futott az openvpn, nagyon pici erőforrást visz.
De mivel ha már hazanézek, úgyis körülnézek az egyéb cuccokon is, így ssh lett belőle portforward-dal, azóta az openvpn kihasználatlan, így le lett állítva
Mi az "értelme", hogy az openvpn külön dockerben van?
Dockerbe leszedsz egy alap linuxot (pl. centos) és rá felteszed az openvpn-t? Még nem foglalkoztam docker-rel, próbálom megismerni. Sőt van gondolatom, hogy a domoticz+dashticz is ebben fusson a VPS-en.
Amikor anno experimental volt a docker rpi-n, akkor játékból csináltam. Ma már nem futtatnám másképp mert mellékerült egy marék egyéb szolgáltatás, és így nem lépnek egymás lábára, könnyebb költöztetni, frissíteni, stb.
Technikailag nem telepítesz linux-ot a konténerbe, mégha belülről úgy is néz ki mintha. Picike az egész.
Nálam egy PCEngines APU2C2-n fut pfSense, ami Route53-be jegyzi be a dinamikus IP címét. (Korábban fix IP-je volt és voltak mögötte tényleges szolgáltatások is, ezeket már máshol tartom.)
Nemrég kaptam egy mélt a tplinkdns-től (mivel jelenleg tp-linkem van és ddns is náluk, mivel a routerben elég szegényes a választék e téren...), hogy júl. elejétől beszüntetik a ddns szolgáltatást. Így ezt a feladatot máshogyan kell megoldanom.
Ez openvpn irányú szál - jelenleg a routeren fut openvpn szerver - abszolút prioritású lett a ddns miatt is a router csere.
Kettő gyártó routereivel "szemeztem" - unifi és mikrotik. Wifi nem kell bele - jó, ha van passzív POE out a UAP-nek. A mikrotik beállítását "könnyebbnek" érzem nekem.
Van valamilyen jó (egyszerű tartalmú) linketek a mikrotik winbox openvpn konfigra?
pl.ezt is találtam: https://administrator.de/content/detail.php?id=359367&token=695#comment…
Ha csak a ddns miatt cserélnél, felesleges. Ha hozzáférsz a firmware-hez akkor oda, ha nem, akkor bármely mögötte folyamatosan futó gépre felraksz egyetlen sort cron-ba egy curl hívással és kész
ssh-val elérem a gyári firmware-t, ebben gondoltad?
Igen ha cron és bármi amivel még tudsz hívni egy URL-t van (curl, wget, stb)
Bár nem pont erre a megoldás, de nálam pl a Synologyn van az OpenVPN + dyndns (mellesleg a Zyxel routerem tud IPSEC-et)
+1, nálam is, előtte egy WR1043ND V1 van, mindkettőn van OpenVPN, de a Syno háttal veri a WR1043ND-t.
Hey! Where'd my terminal go?
WR1043ND V1 ---> rádobni OpenWRT 19.07-et és a WireGuard kb. 50 Mbps tempóval megvalósítja ezen a régi ezközön a VPN-t.
ArcherC1200 router van. Ezen mintha nem lehetne OpenWRT - emlékeim szerint.
Használom az 5GHz Wifit is. Ez se ment - régebben néztem az OWRT-t.