openvpn server hol fusson?

Hálózatok egyéb

Sziasztok!

Biztonságtechnikai okokból hol jobb, hol fusson az openvpn server? Arra gondolok, hogy a VPS-en, vagy az itthoni routeren?
Ugye az ovpn kliens fileot (ha pl. a helyi routeren fut a server) fel kell másolni a VPS-re. Másolás közben is kockázat, és utána a VPS filerendszeren is olvasható ez a file a VPS szolgáltató által.

A házautomatizálási rendszert akarom VPS-en openVPN-nel elérni 24/7-ben.

Köszi,

Roland

  • 687 megtekintés

( ncc1701 | 2020. 05. 18., h – 20:14 )

Ha otthon fut, akkor nem ártana otthonra fix ip.

Amúgy ha a távoli szerver linux, akkor tök mindegy, hol fut biztonságilag. Ha windows, akkor én azon nem futtatnám, bár nincs vele tapasztalatom, úgyhogy köpködhettek. :)

Amúgy feltételezem, h otthon mondjuk van egy mikrotik routered, amit frissítesz is. Ha valami kommersz akármi, gyári firmware-el, akkor az már neccesebb lehet.

Ehhez csak annyit tennek hozza, hogy Mikrotiken pont nem az OpenVPN a javasolt, egyfelol, mert nincs HW-es gyorsitas, csak IPSec-re, illetve igen korulmenyes osszerakni, sima Linuxon toredek ido (regebben neztem, de valoszinuleg sokat mara sem valtozott).

Illetve a Mikrotik sajat dinamikus dns-t ad.

Nekem egész nagy OpenVPN hálózatom volt, de Mikrotiken elég lassú sajnos OpenVPN és 6-os verzióban csak TCP-t tud (ami ugye TCP meltdown miatt bajos). Ma már inkább IPSec-et rakok mindenhova IKEv2-vel transport módban és fölé GRE tunnelt húzok. Ez talán a legegyszerűbb és legstabilabb, ráadásul gyors is. Az egészen pedig BGP-t futtatok és az intézi a routing táblák kitöltését.

( ibenny v | 2020. 05. 18., h – 20:24 )

Ha tisztesseges a router, valojaban teljesen mindegy, de ahogy a kollega is irta, jo lenne a fix ip, de ha az nem megoldhato, egy dinamikus dns mindenkepp, anelkul a gyakorlatban hasznalhatalan.

Egy jol karbantartott Linux vps semmivel sem nyujt alacsonyabb biztonsagi szintet, ettol nem kell, hogy tarts, en is tobb vps-en is uzemeltetetek tobb vpn-t, jol konfiguralt szerver es szolgaltatas eseten ennek semmifele kockazata nincs, csak elonye.

( KoGa v | 2020. 05. 18., h – 20:30 )

Célszerűen ott érdemes futni a VPN szervernek, ahol a szolgáltatásod fut, amit el akarsz érni. Megoldható a kliens elérése is, de az már egy kicsit tákolás. De ez attól is függ, bridge vagy tunnel módot használsz.

Nem tudom mit értesz kliens file alatt, ha a konfigurációs filet, abban jó esetben nincs semmi titkos információ. Az authentikációs adatok legyenek külön vagy használj tanúsitványokat. Egyébként ha ssh felett ha átviszel egy konfig filet az biztonságosnak mondható. De ha nem bízol meg a szolgáltatóban akkor bérelj vps-t máshol, hiszen a hálózati forgalmadat is látják, stb. tehát egy file a vps-en már nem jelent különbséget.

Most rpi-n fut a domo, minden szenzor, minden egyéb LAN-on kapcsolódik hozzá. Erre gondoltam, hogy VPS-re teszem. Így nekem most kézenfekvő lenne, ha a routeren futna az openvpn szerver és a VPS-n a domo, ill. kliens az openvpn-hez. És mobilnet WAN2-re, hogy backup net legyen.

Aruba a VPS szolg.

( bazso | 2020. 05. 18., h – 21:01 )

Dinamikus DNS ha nincs fix Ip. Én a freedns.affraid.org-ot használom évek óta, nincs vele gond.

Utána már lehet otthon a végpont, amíg használtam, egy rpi3-on dockerben futott az openvpn, nagyon pici erőforrást visz.

De mivel ha már hazanézek, úgyis körülnézek az egyéb cuccokon is, így ssh lett belőle portforward-dal, azóta az openvpn kihasználatlan, így le lett állítva

Amikor anno experimental volt a docker rpi-n, akkor játékból csináltam. Ma már nem futtatnám másképp mert mellékerült egy marék egyéb szolgáltatás, és így nem lépnek egymás lábára, könnyebb költöztetni, frissíteni, stb. 

Technikailag nem telepítesz linux-ot a konténerbe, mégha belülről úgy is néz ki mintha. Picike az egész.

( tgerczei | 2020. 05. 19., k – 06:36 )

Nálam egy PCEngines APU2C2-n fut pfSense, ami Route53-be jegyzi be a dinamikus IP címét. (Korábban fix IP-je volt és voltak mögötte tényleges szolgáltatások is, ezeket már máshol tartom.)

( roleez | 2020. 05. 19., k – 22:50 )

Nemrég kaptam egy mélt a tplinkdns-től (mivel jelenleg tp-linkem van és ddns is náluk, mivel a routerben elég szegényes a választék e téren...), hogy júl. elejétől beszüntetik a ddns szolgáltatást. Így ezt a feladatot máshogyan kell megoldanom.
Ez openvpn irányú szál - jelenleg a routeren fut openvpn szerver - abszolút prioritású lett a ddns miatt is a router csere.

Kettő gyártó routereivel "szemeztem" - unifi és mikrotik. Wifi nem kell bele - jó, ha van passzív POE out a UAP-nek. A mikrotik beállítását "könnyebbnek" érzem nekem.

Van valamilyen jó (egyszerű tartalmú) linketek a mikrotik winbox openvpn konfigra?

pl.ezt is találtam: https://administrator.de/content/detail.php?id=359367&token=695#comment…

( an-dee | 2020. 05. 19., k – 23:19 )

Bár nem pont erre a megoldás, de nálam pl a Synologyn van az OpenVPN + dyndns (mellesleg a Zyxel routerem tud IPSEC-et)